Déployer l’innovation en IA

L’intelligence artificielle (IA) n’est pas juste une tendance technologique : c’est une force transformatrice qui redéfinit les secteurs d’activité, du service à la clientèle à l’analyse de données et à la création de contenu. En tant que catalyseur et moteur de l’innovation, l’IA a permis à des entreprises d’automatiser des tâches tant banales que complexes, de réaliser des percées et d’améliorer la prise de décisions.

Or, à ces possibilités s’ajoute un accroissement des préoccupations soulevées par les risques liés aux applications de l’IA. Parmi les principaux risques figurent les éventuels biais algorithmiques, qui mènent à un traitement inéquitable des personnes touchées, et les menaces à la confidentialité des renseignements attribuables à la collecte d’une quantité impressionnante de données nécessaires à l’apprentissage automatique. En réaction à ces risques, des exigences accrues sont proposées et entrent progressivement en vigueur. Pour déployer tout le potentiel de l’IA, les organisations doivent prendre des mesures d’atténuation des risques technologiques afin de se conformer aux exigences juridiques, de se protéger et de protéger leurs utilisateurs. Pour ce faire, elles doivent composer avec un éventail de normes, de lignes directrices, de lois et de cadres contractuels complexes et en constante évolution. L’atténuation en amont des risques constitue une base solide pour innover de manière durable et responsable.

À ce jour, une entreprise canadienne sur sept [PDF] a intégré l’IA dans la conduite de ses activités. Les taux d’adoption de l’IA sont appelés à augmenter considérablement en 2025 et par la suite, le taux d’adoption prévu à l’échelle des entreprises d’ici trois à six ans atteignant 50 % [PDF]. En contexte d’évolution constante des technologies de l’IA, l’IA pourrait faire croître la productivité canadienne de 1 % à 6 % au cours de la prochaine décennie [PDF].

Bien que le rendement du capital investi résultant de l’innovation en IA soit prometteur, les entreprises doivent porter une attention particulière aux risques associés à l’IA afin de déployer la technologie de façon sécuritaire et efficace et de tirer parti de ses possibilités.

Une feuille de route pour l’avenir : Normes et lignes directrices en matière d’IA

Les normes et les lignes directrices fournissent une feuille de route qui permet aux entreprises d’innover dans un cadre défini et sécuritaire. En adoptant des normes et des lignes directrices reconnues par l’industrie, les organisations peuvent structurer leur croissance et le déploiement de l’IA selon des principes reconnus en matière de sécurité, d’équité et de reddition de comptes. Cette base atténue les risques et peut donner aux organisations la confiance nécessaire pour explorer de nouvelles applications d’IA, tout en suscitant la confiance des parties prenantes. Cette mise en confiance peut, à son tour, accélérer le passage du concept au déploiement.

Le secteur de l’IA fait face à un défi évident : la diversité des normes et des cadres publiés au cours des dernières années. Certes, ces documents établissent les normes fondamentales d’une utilisation responsable de l’IA, mais ils ne sont pas tous identiques. La détermination des normes les mieux adaptées au contexte qui permettent de raffermir la confiance à l’égard d’une application de l’IA donnée nécessite un examen prudent.

Le cadre de gestion des risques en matière d’IA [PDF] (en anglais seulement), élaboré par le National Institute of Science and Technology (NIST), fait autorité en la matière. Ce cadre énonce des principes volontaires visant à améliorer la fiabilité aux étapes de la conception, du développement, de l’utilisation et de l’évaluation des produits, systèmes et services d’IA. L’adoption du cadre du NIST présente notamment l’avantage d’offrir des outils utilisables pour la mise en œuvre, soit un profil de l’IA générative [PDF], un guide du NIST sur le cadre de gestion des risques (CGR) de l’IA, une vidéo explicative sur le CGR de l’IA et une feuille de route sur le CGR de l’IA (en anglais seulement), qui fournissent des indications pratiques aux organisations pour élaborer leurs approches de la gestion des risques liés à l’IA.

La norme ISO/IEC 42001 de l’Organisation internationale de normalisation (ISO) constitue un autre outil important. Cette norme offre un système de gestion complet portant sur l’éthique, la transparence, la reddition de comptes, l’atténuation des biais, la sécurité et la protection de la vie privée dans le contexte de l’IA. Elle a été créée par une équipe d’experts mondiaux et régionaux dans le cadre d’un ensemble plus large de plus de 33 normes liées à l’IA publiées par l’ISO pour aider les organisations à gérer les risques et les occasions que présente l’IA. Comme de nombreuses organisations canadiennes qui ont adopté cet ensemble de normes régissant la sécurité de l’information et la cybersécurité connaissent la norme ISO/IEC 27001, elles jugeront peut-être que l’ISO/IEC 42001 est toute indiquée pour assurer la cohérence de leur approche à l’égard de la réduction des risques liés à l’IA.

Les Principes de l’IA de l’Organisation de coopération et de développement économiques (OCDE) s’ajoutent à ces documents fondamentaux. Ces principes constituent la première norme intergouvernementale relative à l’IA. Il s’agit d’une série de principes fondés sur des valeurs qui régissent le développement d’une IA fiable et de recommandations destinées aux décideurs pour l’élaboration de politiques en matière d’IA. Les principes de l’OCDE présentent notamment l’avantage de mettre l’accent sur l’interopérabilité mondiale, ce qui en fait un outil utile pour les organisations qui souhaitent une conformité à l’échelle internationale. Quarante-sept pays ont adhéré aux Principes de l’OCDE sur l’IA, soit tous les pays membres de l’OCDE (dont le Canada et les États-Unis) et plusieurs pays non membres (dont le Brésil, l’Argentine et la Colombie). Les pays adhérents utilisent ces lignes directrices pour définir des politiques et créer des cadres de gestion des risques liés à l’IA, ce qui favorise l’harmonisation entre les différents territoires de compétence.

Une approche pragmatique de l’évaluation du cadre à privilégier consiste à examiner attentivement les contextes opérationnels, l’environnement réglementaire et les objectifs stratégiques propres à l’organisation. Cet examen devrait comprendre une évaluation des normes les plus appropriées dans le secteur d’activité et les régions dans lesquelles l’organisation est présente, compte tenu des technologies de l’IA mises au point ou déployées et des normes que l’organisation respecte actuellement à d’autres fins.

De nombreuses organisations estiment que les normes et les lignes directrices sont d’une utilité inestimable pour modeler les cadres d’orientation internes. De plus, en l’absence d’une réglementation officielle, les normes servent souvent de substituts jusqu’à l’adoption de lois. Étant donné la rapidité d’adoption de l’IA, il est certain que d’autres progrès dans les domaines de la normalisation et de la gouvernance de l’IA sont imminents.

Un contexte réglementaire qui évolue

En 2024, nous avons assisté au renforcement de la réglementation, dicté par la nécessité de gérer les risques liés à l’IA en donnant priorité à la probabilité et à la gravité des préjudices que ses technologies peuvent causer. Plusieurs territoires de compétence cherchent actuellement à élargir, élaborer ou mettre en œuvre une réglementation en matière d’IA qui aura une incidence en 2025 et ultérieurement.

La réglementation peut parfois être perçue comme un obstacle à l’innovation, mais une réglementation éclairée peut favoriser l’innovation en offrant une approche structurée et fondée sur les risques, qui concilie la sécurité et la liberté d’innover.

L’étude de l’évolution de ces mesures législatives peut aider les entreprises aspirant à innover à mieux comprendre le contexte réglementaire et à se positionner pour innover en toute confiance.

La nouvelle réglementation recoupe en général les lignes directrices, les normes et les cadres existants. De nombreux territoires de compétence, dont l’Union européenne (UE) et les États-Unis, intègrent des principes tirés de cadres établis, notamment les Principes de l’OCDE sur l’IA, pour orienter leur approche concernant la définition de l’IA et la détermination de son mode de réglementation. Au fur et à mesure que le nombre de territoires envisageant la mise en œuvre de règlements augmentera, il est certain que l’échange et le recoupement des approches se répandront.

Au Canada, la Loi sur l’intelligence artificielle et les données (LIAD) [PDF], y compris les modifications proposées [PDF] par Innovation, Sciences et Développement économique Canada en novembre 2023, propose un cadre réglementaire qui s’applique aux systèmes d’usage général, aux systèmes à incidence élevée et aux modèles qui en font partie. Les systèmes à incidence élevée comprennent les systèmes d’IA qui déterminent les aspects relatifs à l’emploi ou l’établissement de priorités d’accès aux services aux particuliers. Selon le classement des systèmes d’IA et le fait qu’ils soient élaborés ou déployés par les organisations, la LIAD prescrirait des exigences de conformité comportant des évaluations et des mesures d’atténuation des risques de préjudices causés par l’IA. La LIAD s’inscrit dans une refonte plus complète des textes de loi fédéraux sur la protection de la vie privée, des consommateurs et des renseignements, qui font actuellement l’objet d’un examen article par article, dont il est question plus en détail dans l’article de Perspectives juridiques Osler sur la protection des renseignements personnels (en anglais seulement). La LIAD ne sera peut-être pas promulguée avant le déclenchement des élections fédérales en 2025, mais sa version actuelle jette un éclairage sur l’avenir de la réglementation de l’IA au Canada.

La Loi européenne sur l’intelligence artificielle, qui est entrée en vigueur dans l’UE en août 2024, classe les systèmes d’IA selon les catégories de risque suivantes : inacceptable, élevé, limité et minimal. Les risques sont déterminés en fonction de leur incidence potentielle sur la santé, la sécurité, les droits fondamentaux et l’environnement. Cette approche fondée sur les risques impose des obligations plus strictes pour les systèmes d’IA à haut risque, dont les pratiques de gouvernance des données, et exige que la formation, la validation et la mise à l’essai d’ensembles de données soient suffisamment représentatives et, dans la mesure du possible, exemptes d’erreurs. Cette méthode d’évaluation de l’IA est observée à l’échelle des États américains, notamment au Colorado où des mesures de protection des consommateurs [PDF] (en anglais seulement) fondées sur le niveau de risque de l’IA sont utilisées.

Comme les mesures législatives évoluent sans cesse, il est souhaitable que les organisations adoptent des principes généraux pour se conformer aux lois en vigueur et se préparer pour la réglementation à venir. Il serait bon que ces principes reflètent en général une approche fondée sur les risques qui exige une évaluation périodique des systèmes d’IA en vue de détecter les risques et qui assure en amont la transparence de l’utilisation de l’IA et la mise en œuvre de mesures pour atténuer les risques repérés.

Le fait de comprendre le contexte réglementaire peut aider les organisations à affecter en toute confiance des ressources à des projets peu exposés à des obstacles liés à la conformité. En ayant la conformité en tête à l’étape de la conception et en tenant compte des lois existantes et en cours d’élaboration dans les principaux marchés mondiaux, les entreprises peuvent mettre au point avec assurance des applications d’IA, faire croître la confiance de leurs fournisseurs de services d’IA et encourager une adoption plus large de l’IA.

L’IA a également une incidence sur les contrats

Par ailleurs, les normes en matière de conclusion de contrats évoluent, définissant les attentes et les responsabilités à l’égard de l’utilisation de l’IA, dans un contexte où les entreprises collaborent à des projets complexes, avec des quantités impressionnantes de données. Les parties peuvent favoriser l’innovation tout en gérant les risques en discutant des droits liés aux données, de l’atténuation des biais, de la transparence et de la reddition de comptes et en énonçant des modalités claires à ces égards.

Des ententes élaborées qui rendent compte de l’utilisation de l’IA devraient contenir des clauses relatives aux données utilisées, y compris celles visant à entraîner les modèles et mettre au point les modèles sous-jacents. De telles ententes devraient aussi délimiter le recours aux données de l’organisation pour accélérer le déploiement et le développement de l’IA. Les parties contractantes jugeront peut-être bon d’insérer des clauses relatives aux résultats biaisés dans les modèles d’IA. Ces clauses peuvent prévoir l’exécution de tests de même que le repérage des résultats biaisés et des correctifs.

La transparence est un aspect essentiel de l’utilisation de l’IA, car elle permet d’assurer que les parties comprennent le fonctionnement des systèmes d’IA, prennent des décisions et influencent les résultats. L’inclusion de dispositions précises en matière de transparence peut être utile pour répondre aux préoccupations concernant la compréhension, la responsabilisation et la fiabilité liées aux processus axés sur l’IA. Enfin, les parties contractantes voudront peut-être ajouter, au besoin, des modalités qui attribuent la responsabilité de la surveillance et de la prise de décisions intégrant l’intelligence humaine.

Comme les normes entourant les droits d’utilisation des données, la propriété des données, les biais et la transparence évoluent sans cesse, les organisations réexaminent généralement les modalités s’y rapportant — en particulier dans les ententes types, qui répondent rarement de manière adéquate aux exigences propres à la conclusion de contrats relatifs à l’IA.

Au-delà de 2024, nous nous attendons à ce que la conclusion de contrats commerciaux joue un rôle de plus en plus crucial dans le soutien de l’innovation durable en IA, notamment en puisant dans les normes et les principes réglementaires dont il a été question précédemment et en les appliquant à des utilisations et à des impératifs organisationnels précis.

L’avenir de la surveillance de l’IA

Comme les systèmes d’IA s’affinent et leurs capacités augmentent, il est primordial de gérer les risques qui en résultent. Les normes, les lignes directrices, les règlements et les contrats sont des outils complémentaires qui peuvent réduire les risques technologiques et favoriser l’innovation en IA. Les normes fournissent une orientation de base, prescrivant des pratiques exemplaires et des points de référence en matière de qualité et d’éthique. La réglementation exige que les technologies d’IA soient mises au point et déployées dans des limites sécuritaires et éthiques. Les contrats offrent de la souplesse et peuvent être adaptés à des utilisations précises, permettant aux organisations de définir des attentes et des responsabilités dans le cadre de projets de collaboration. En considérant ces mesures de réduction des risques comme des cadres pour l’innovation responsable plutôt que comme des obstacles, les entreprises peuvent susciter la confiance à l’égard du développement et du déploiement des technologies d’IA, et les accélérer. En adoptant sans réserve cette approche de réduction des risques en amont, quels que soient les échéanciers législatifs à venir, les organisations seront en position favorable pour innover en toute confiance et exploiter pleinement le potentiel de l’IA.