Commentaire du projet de Loi sur l’intelligence artificielle et les données
Milène Hauri, doctorante du Fonds national suisse de la recherche scientifique à l’Université de Genève et doctorante invitée au Laboratoire de Cyberjustice de l’Université de Montréal
1. Contexte législatif
Le projet de loi C-27 (PL C-27) déposé par le Gouvernement du Canada le 16 juin 2022 comprend trois propositions de réglementations fédérales :
- la Loi sur la protection de la vie privée des consommateurs (LVPVC);
- la Loi sur le Tribunal de la protection des renseignements personnels et des données (Loi sur le Tribunal);
- la Loi sur l’intelligence artificielle et les données (Loi sur l’IA).
Ce projet a pour genèse les Consultations nationales sur le numérique et les données, menées de juin à octobre 2018 dans l’ensemble du pays. 580 Canadiennes et Canadiens ont pu être écouté·e·s lors de 30 tables rondes et au moyen de 1 950 réponses écrites via le site Web de consultation et d’autres plateformes numériques. Ce travail a donné lieu à la Charte canadienne du numérique (ci-après : la Charte numérique), laquelle arrête dix principes fondamentaux (accès universel ; sûreté et sécurité, contrôle et consentement, transparence, portabilité et interopérabilité ; gouvernement numérique ouvert et moderne ; règles du jeu équitables ; données numériques pour le bien commun ; démocratie solide ; exempt de haine et d’extrémisme violent ; application rigoureuse et réelle responsabilité). On peut qualifier ces principes de droit souple, voire de pré-droit.
Car ce procédé participatif a en effet constitué pour le moins une impulsion législative. Sur cette base et pour une mise en œuvre de la Charte numérique, le gouvernement canadien a en effet élaboré un premier projet de loi : le projet C-11 de Loi de 2020 sur la mise en œuvre de la Charte du numérique, déposé le 17 novembre 2020 par le ministre de l’Innovation, des Sciences et de l’Industrie. Ce projet vise alors à créer deux nouvelles lois : la LPVC et la Loi sur le Tribunal. Il n’a cependant pas été traité intégralement par le Parlement avant la dissolution de ce dernier en août 2021 (il n’a été examiné qu’en première lecture par la chambre basse) et est ainsi devenu caduc (ou « mort au feuilleton »).
Le ministre en charge a alors déposé en juin 2022 un second projet de réglementation du numérique : le projet C-27, lequel reprend substantiellement le contenu du projet C-11, complété d’un nouvel élément majeur, le projet de Loi sur l’intelligence artificielle et les données ), objet de ce commentaire. Les impulsions législatives de ce projet sont l’appel de la lanceuse d’alerte Frances Haugen et les travaux en cours sur l’IA aux États-Unis et au sein de l’Union européenne, selon Monsieur Mohit, Directeur par intérim de la Politique de l’intelligence artificielle et les données au sein de l’ISDE.
2. Objet et champ d’application
La loi serait destinée au secteur privé et au commerce international et interprovincial ; elle exclut ainsi de son champ d’application ratione personae les institutions fédérales (art. 3). Dans ce cadre, elle vise à réglementer non seulement la conception, le développement et la mise à disposition de systèmes d’intelligence artificielle (art. 5 (1) b)) mais également le traitement et la mise à disposition de « données liées à l’activité humaine » dans le but de concevoir, de développer ou d’utiliser un système d’intelligence artificielle (art. 5 (1) a)).
Ce texte définit un système d’intelligence artificielle comme un « système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions » (art. 2).
Cette loi imposerait alors de nouvelles obligations aux responsables des systèmes d’intelligence artificielle, c’est-à-dire aux personnes qui conçoivent, développent, rendent disponible ou gèrent l’exploitation d’un tel système (art. 5 (2)).
3. Points clés du projet
3.1. Catégories de systèmes d’IA et notion de préjudice
Le projet propose trois catégories de systèmes d’IA :
- les systèmes d’IA à incidence non élevée ;
- les systèmes d’IA à incidence élevée ;
- les système d’IA à incidence élevée pouvant entraîner un risque grave de préjudice imminent.
La troisième catégorie est interdite (art. 17) et la deuxième fait l’objet d’obligations spécifiques (art. 10 à 14). Notons que cette approche différentiée est similaire à celle de la Commission européenne dans le cadre de sa proposition de règlement établissant des règles harmonisées en matière d’intelligence artificielle, laquelle propose un système à quatre niveaux (minimal risk, limited risk, hight risk, unacceptable risk).
La troisième catégorie est interdite (art. 17) et la deuxième fait l’objet d’obligations spécifiques (art. 10 à 14). Notons que cette approche différentiée est similaire à celle de la Commission européenne dans le cadre de sa proposition de règlement établissant des règles harmonisées en matière d’intelligence artificielle, laquelle propose un système à quatre niveaux (minimal risk, limited risk, hight risk, unacceptable risk).
Le concept de préjudice est central parce qu’il détermine si un système d’IA sera interdit ou non. L’existence (ou le risque) d’un préjudice tel que défini par le projet de loi rend interdites l’utilisation et la mise à disposition d’un système d’IA (art. 17). De même, l’obligation d’évaluation dépend de la notion de préjudice, étant donné que l’évaluation porte sur les risques de préjudice.
Selon le projet de loi, le préjudice est subi par un individu uniquement et peut être physique, psychologique ou économique (art. 5). Il serait alors nécessaire de déterminer ou quantifier le préjudice en question pour un individu victime du préjudice. Cette logique juridique classique répond peu à certains enjeux propres aux nouvelles technologies. Prenons par exemple les faux comptes automatisés de réseaux sociaux (social bots) utilisés en masse dans le but de manipuler les opinions des utilisateurs et utilisatrices de ces réseaux avant des élections politiques par le biais de propagandes computationnelles. Ce phénomène est une atteinte aux droits politiques et à la liberté d’opinion des personnes appelées à participer à une élection, mais également aux systèmes de démocratie. Quel serait dans ce cas le préjudice exactement et comment serait-il possible de le quantifier ? Cette définition du préjudice ainsi que sa centralité dans le noyau normatif de ce projet de loi ne donnent pas de réponse adaptée aux risques systémiques. En ce sens, le Règlement européen sur les services numériques offre une solution intéressante avec l’obligation d’évaluation de tout risque systémique, ce qui inclut les effets négatifs pour l’exercice des droits fondamentaux mais également les effets négatifs sur le discours civique, les processus électoraux et la sécurité publique (art. 34 du Règlement).
Le projet de loi distingue la notion de préjudice de celle de résultat biaisé. Selon l’art. 5 du projet, un résultat biaisé est un « [c]ontenu généré, [une] prédiction ou recommandation faite ou [une] décision prise par un système d’intelligence artificielle qui défavorisent, directement ou indirectement et sans justification, un individu sur le fondement d’un ou plusieurs motifs de distinction illicite prévus à l’article 3 de la Loi canadienne sur les droits de la personne, ou de leur effet combiné. » Or seul un « préjudice imminent » entraîne la cessation d’un système d’IA (art. 17 et art. 4). Les résultats biaisés n’apparaissent qu’à l’art. 8 lequel impose une obligation d’évaluer les risques de préjudice ou de résultats biaisés que pourrait entraîner l’utilisation d’un système d’IA, ainsi qu’à l’art. 14 selon lequel le ministre peut ordonner la fourniture de documents s’il pense qu’un système d’IA peut entraîner un préjudice ou un résultat biaisé. La conséquence exacte de l’existence d’un résultat biaisé est inexistante. Il est difficile de comprendre pourquoi les auteurs du projet n’ont pas placé le résultat biaisé au même niveau que le préjudice. Cette distinction porte à confusion (un résultat biaisé peut-il constituer un préjudice psychologique ? Et si oui, dans quelle mesure ?) et manque d’efficacité pour les systèmes provoquant des résultats biaisés (quelles sont les conséquences exactes ?).
3.2. Obligations principales
Les obligations du ou de la responsable d’un système d’intelligence artificielle consistent principalement en des mises en place de procédures et de mesures de contrôle et d’évaluation de risques. On distingue des obligations pour les responsables de tout système d’IA et des obligations spécifiques aux systèmes à incidence élevée.
Les tableaux ci-dessous mettent en perspective les obligations de procédure, les obligations de transparence et la manière dont les obligations sont contrôlées.
Obligations générales
Obligations relatives aux systèmes à incidence élevée
3.3. Réponse à la tension entre transparence et protection du secret d’affaires
Un enjeu majeur de la régulation des systèmes d’IA est l’équilibre entre le besoin de transparence des algorithmes et celui de la protection du secret d’affaires des entreprises. La réponse de ce projet de loi consiste en une distinction de régime de transparence entre les systèmes d’IA à incidence élevée et les autres, c’est-à-dire à incidence non élevée.
Ainsi, les personnes gérant l’exploitation d’un système à incidence élevée ou qui le rendent disponible doivent publier sur un site Web accessible au public et dans un langage clair plusieurs renseignements. Ces derniers sont listés de manière non exhaustive à l’art. 11 : l’utilisation visée, le contenu censé être généré et les mesures d’atténuations de risques établies notamment. Pour tout autre système (à incidence moins élevée), le ministre peut ordonner de publier des renseignements relatifs à l’une des obligations, à l’exception des renseignements commerciaux confidentiels (art. 18). Ces renseignements peuvent alors porter sur l’anonymisation des données, l’évaluation des systèmes d’IA, les mesures relatives aux risques de préjudice ou de résultats biaisés d’un système d’IA, l’évaluation de ces mesures et la vérification effectuée par le ministre sur une possible contravention aux obligations.
Enfin, le projet de loi consacre une partie sur la confidentialité des renseignements commerciaux (art. 22 à 28) intitulée « Renseignements ». En principe, le ministre est soumis à une exigence de confidentialité (art. 22). En revanche, il peut communiquer des renseignements à une autre autorité compétente si la communication est exigée (art. 24), également s’il a des motifs de croire qu’une autre loi fédérale ou provinciale est enfreinte (art. 26). À titre d’exemple, cette autorité peut être le Commissaire à la protection de la vie privée, la Commission canadienne des droits de la personne ou encore un tribunal.
3.4. Contrôle du respect des obligations et sanctions
Un ministre désigné serait responsable du contrôle des obligations. À défaut de désignation, le ministre de l’Industrie endosserait ce rôle (art. 5).
3.4.1. Contrôle et (manque d’)indépendance
Le contrôle des obligations est donc principalement donné au ministre (art. 13 – 21), lequel est appuyé par le commissaire à l’intelligence artificielle et aux données et à qui il peut déléguer plusieurs de ses attributions (art. 33).
Notons que le gouverneur en conseil désigne le ministre en charge de l’application de la réglementation des systèmes d’IA (art. 31), lequel désigne le commissaire à l’IA (art. 33). Étant chargé d’assister le ministre, le commissaire ne bénéficie pas d’une indépendance expresse. De même, la vérification ordonnée par le ministre est effectuée « par une personne qui possède les qualifications prévues par règlement », sans mention aucune de toute forme d’indépendance. Le règlement qui prévoira ces qualifications sera établi par le gouverneur en conseil (art. 36). Il est curieux que l’indépendance du vérificateur ne soit pas inscrit dans le projet de loi mais laissé à la discrétion du pouvoir exécutif. Il est toutefois prévu que ce point soit discuté au sein du comité en charge de la Chambre des communes, selon Monsieur Mohit, Directeur par intérim de la Politique de l’intelligence artificielle et les données au sein d’ISDE, au vu des critiques.
Le projet omet le principe d’indépendance pour une autre institution proposée : le comité consultatif chargé de donner des conseils au ministre (art. 35). De même, aucune information n’est donnée sur la manière dont ce comité serait constitué, pas même un règlement ultérieur ne prévoirait cela. La possibilité du ministre de faire publier les conseils du comité (art. 35) n’est qu’un recours peu satisfaisant, au vu du pouvoir décisionnaire du ministre quant à la publication.
3.4.2. Système de sanctions
En cas de violations des obligations du projet de loi, deux régimes sont proposés par le projet : les sanctions administratives pécuniaires (art. 29) et les infractions (art. 30). Le régime des infractions prévoit qu’une violation d’une obligation peut entraîner jusqu’à 10 millions de dollars ou 3% des recettes globales brutes (art. 30 (3)). En revanche, le régime des sanctions administratives pécuniaires fait l’objet d’un renvoi à des règlements ultérieurs, lesquels seront pris par le gouverneur en conseil. Le projet de loi indique que le gouverneur en conseil peut prendre des règlements désignant quelles sont les violations mineures, graves ou très graves ou encore quelle sanction sera imposée (son montant, le barème, les critères, etc.) (art. 29 (4)).
Ce système de sanctions semble boiteux pour plusieurs raisons. Premièrement, on comprend que l’une ou l’autre voie devra être choisie (sanctions administratives pécuniaires ou infractions) mais rien n’indique sur quels critères ce choix devra être effectué. Deuxièmement, le fait que le régime de l’art. 30 soit détaillé dans le projet de loi alors que celui de l’art. 29 renvoie à des règlements ultérieurs semble incohérent. Enfin, selon l’art. 29 (4), le gouverneur en conseil peut prendre notamment des règlements désignant les dispositions dont la contravention constitue une violation. Il est donc impossible de savoir quels manquements seront effectivement punis par le régime des sanctions administratives pécuniaires. Ce manque de clarté est problématique du point de vue de la sécurité du droit.
Les deux régimes de sanctions décrits ci-dessous concernent les obligations du ou de la responsable du système d’IA (partie 1 du projet de loi). Un régime de sanctions s’ajoute à ces deux régimes (partie 2 du projet de loi) : les infractions générales liées aux systèmes d’intelligence artificielle. Dans cette partie, sont punies la possession ou l’utilisation de renseignements personnels provenant d’une infraction (art. 38) ainsi que la mise à disposition d’un système d’IA pouvant vraisemblablement causer un préjudice sérieux à un individu (art. 39).
Pour l’une ou l’autre de ces infractions, les peines pécuniaires pourraient atteindre 25 millions de dollars ou 5% des recettes globales brutes pour une personne morale et une peine d’emprisonnement maximale de cinq ans ainsi qu’une amende maximale de 100 000 dollars pour une personne physique (art. 40).
4. Bilan mitigé
Il est certain que le domaine de l’intelligence artificielle nécessite une réglementation et dans ce sens, le projet canadien répond à un besoin sociétal essentiel. En revanche, il contient plusieurs lacunes majeures ; il laisse en effet son noyau normatif à élaborer dans une série de règlements futurs dont l’élaboration n’a pas de délai. Plusieurs éléments essentiels sont en effet laissés à « plus tard » dans le projet de loi, c’est-à-dire à des règlements ultérieurs :
- la définition et les conditions d’un « système à incidence élevée » (art. 5) ;
- la manière dont les systèmes d’IA doivent être évalués afin de savoir s’ils sont à incidence élevée (art. 7) ;
- les mesures prises pour cerner, évaluer et atténuer les risques de préjudice des systèmes à incidence élevée (art. 8) ;
- la manière dont le responsable d’un système à incidence élevée doit contrôler les mesures d’atténuation (art. 9) ;
- les modalités de publication des renseignements sur les systèmes à incidence élevée (art. 11) ;
- les qualifications de la personne tenue d’effectuer la vérification (audit, art. 15).
La lacune la plus manifeste est celle de la définition de « système à incidence élevée ». Les règlements sont pris soit par le gouverneur en conseil (art. 36) soit par le ministre (art. 37), c’est-à-dire le gouvernement. Cette délégation législative pose ainsi des questions sérieuses de légitimité démocratique. De plus, le manque d’informations cruciales sur la réglementation donne l’impression d’un projet de loi inachevé.
Ce contenu a été mis à jour le 25 avril 2023 à 16 h 08 min.