Guide sur la réglementation de l’intelligence artificielle au Canada

Le régime de réglementation actuel de l’intelligence artificielle (IA) est appelé à changer considérablement au cours des prochaines années compte tenu de l’introduction de la législation sur l’IA et des règles en matière de prise de décisions automatisée au Canada et de la mise en œuvre d’une nouvelle législation dans l’Union européenne, aux États-Unis et ailleurs.

À l’heure actuelle, le secteur de l’IA est réglementé par une combinaison fragmentaire de lois existantes en matière de droits de la personne, de la protection des renseignements personnels, de la responsabilité délictuelle et de la propriété intellectuelle. Toutefois, les législateurs prennent acte de la popularité croissante de cet ensemble de technologies, qui s’étend bien au-delà du maintenant célèbre ChatGPT. Les organisations qui utilisent des systèmes d’IA doivent connaître les nouvelles lois et les nouveaux règlements régissant la conception, le développement, la distribution et l’utilisation de ces systèmes.

Les risques juridiques posés par l’IA et les mesures prises par les autorités de réglementation canadiennes

De façon générale, le droit canadien s’applique autant à l’IA qu’aux autres technologies. Toutefois, plusieurs domaines du droit sont d’un intérêt particulier pour l’IA. Il s’agit notamment des droits de la personne, de la vie privée, de la responsabilité délictuelle et de la propriété intellectuelle.

Droits de la personne

La technologie de l’IA peut avoir diverses répercussions sur les droits de la personne, selon la façon dont elle est développée et déployée. Certaines utilisations de l’IA peuvent porter atteinte au droit à l’égalité et à la non-discrimination. La montée rapide des processus décisionnels automatisés fondés sur l’IA fait craindre que ces systèmes reproduisent des schémas de discrimination codés dans les données qui leur sont transmises au stade de développement.

Les données d’apprentissage utilisées dans le développement des systèmes d’IA peuvent contenir des préjugés inconscients et de la discrimination involontaire, qui se refléteront ensuite dans les résultats. Par exemple, un système d’IA qui aide à la prise de décisions dans le processus d’embauche peut reproduire involontairement la sous-représentation d’un groupe marginalisé qui était présente dans les données d’apprentissage. Il faut garder ce risque à l’esprit lors de l’élaboration et de la mise en œuvre d’algorithmes et de systèmes d’IA, en particulier ceux qui participent au processus décisionnel concernant des personnes, pour éviter d’enfreindre la législation et la réglementation en matière de droits de la personne (y compris les dispositions contre la discrimination et les pratiques discriminatoires de la Loi canadienne sur les droits de la personne), ainsi que les lois provinciales qui protègent contre la discrimination. Les organisations doivent également tenir compte des risques d’atteinte à la réputation qui pourraient découler de telles situations.

En 2021, le gouvernement de l’Ontario a mené des consultations sur les projets d’engagements et d’actions liés à son cadre de l’intelligence artificielle (IA) de confiance. Le cadre comprenait i) des engagements relatifs à la transparence de l’utilisation de l’IA par le gouvernement; ii) des règles et des outils pour une utilisation sûre, équitable et sécurisée de l’IA par le gouvernement; et iii) un engagement à refléter et à protéger les droits et les valeurs dans l’utilisation de l’IA par le gouvernement. La Commission ontarienne des droits de la personne (CODP) a notamment participé à cette consultation publique. La CODP a déterminé quelques domaines de préoccupation spécifiques où l’utilisation de l’IA pourrait avoir un impact discriminatoire, soit les services policiers, les soins de santé et l’éducation¹.

Le Canada fait partie de la Coalition pour la liberté en ligne, qui a formulé des commentaires sur le risque qu’une IA sous-réglementée enfreigne le droit international des droits de la personne, dont le droit à la vie privée, et qui a enjoint les organisations du secteur privé à utiliser les systèmes d’IA de manière responsable.

Responsabilité délictuelle

En common law, le délit de négligence s’appliquera à la réglementation de l’IA dans les cas où les parties sont lésées par un système d’IA. Bien que cette question n’ait pas encore été examinée par les tribunaux canadiens, il est probable qu’en vertu des principes établis en droit de la responsabilité délictuelle en matière de négligence, les défendeurs continueront à être tenus responsables du dommage causé par un système d’IA qu’ils ont développé ou déployé.

Il est à noter que les activités pouvant donner lieu à des réclamations pour négligence et les activités illégales demeurent négligentes ou illégales, même si elles sont menées par l’intermédiaire de systèmes d’IA. Bien que les entreprises qui développent l’IA puissent être exposées à des risques de responsabilité, le droit canadien n’a pas encore eu à traiter l’attribution de la responsabilité lorsque plusieurs parties participent à l’utilisation ou au développement d’un système d’IA ou lorsque la source d’un résultat ou d’une action préjudiciable d’un système d’IA n’est pas claire.

D’autres délits sont également susceptibles de devenir pertinents dans le contexte de l’IA, particulièrement compte tenu de la capacité des programmes d’IA de modifier et de reproduire la voix et l’apparence d’une personne (« hypertrucage »). Il peut s’agir notamment de délits consistant à infliger intentionnellement des souffrances morales, à placer une personne sous un faux jour, à distribuer des images intimes sans consentement et à entraver les relations économiques. La législation récemment adoptée en Colombie-Britannique sur la distribution non consensuelle d’images intimes prévoit expressément une attente raisonnable de confidentialité à l’égard des images intimes, même si l’image a été modifiée ou ne permet pas d’identifier une personne.

Protection des renseignements personnels

Presque toute utilisation de l’IA doit tenir compte de son incidence sur la protection des renseignements personnels, étant donné que les systèmes d’IA sont conçus à l’aide de grandes quantités de données, dont certaines sont des données personnelles identifiables. La collecte, l’utilisation et la communication de renseignements personnels au Canada par des entreprises privées sont régies par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au fédéral et par une législation provinciale essentiellement similaire au Québec, en Alberta et en Colombie-Britannique.

La LPRPDE accorde de l’importance au consentement des personnes en ce qui concerne la collecte de leurs renseignements personnels et la façon dont ceux-ci sont utilisés et communiqués. Les entreprises qui utilisent ou développent l’IA dans le cadre de leurs activités doivent connaître les obligations créées par la LPRPDE dans la mesure où des renseignements personnels sont utilisés pour entraîner et développer des systèmes d’IA ou sont recueillis ou utilisés lorsque les consommateurs interagissent avec des systèmes d’IA.

Dans la mesure où les créateurs de systèmes d’IA recueillent, utilisent ou transmettent des renseignements personnels dans le cadre de l’entraînement ou du développement de leurs systèmes d’IA, les organismes de réglementation ont le pouvoir d’enquêter sur leurs pratiques. Ainsi, en avril 2023, le Commissariat à la protection des renseignements personnels du Canada (CPVP) a lancé une enquête sur OpenAI, l’entreprise à l’origine du robot conversationnel ChatGPT, à la suite d’une plainte concernant la collecte, l’utilisation et la communication de renseignements personnels sans consentement. Des enquêtes similaires ont été envisagées ou entreprises dans l’Union européenne (UE) en vertu du Règlement général sur la protection des données (RGPD).

Lignes directrices fédérales

Avant l’introduction du projet de loi C-27, proposant notamment l’adoption de la Loi sur l’intelligence artificielle et les données (LIAD), le CPVP a formulé des recommandations sur la façon de modifier la LPRPDE afin de réglementer adéquatement l’IA. Il a recommandé notamment d’adopter une approche fondée sur les droits de la personne et d’énoncer clairement les droits et les obligations en ce qui concerne les renseignements personnels afin que l’utilisation des renseignements personnels dans le contexte de l’IA soit réglementée par la LPRPDE².

En général, en réponse à l’IA, le CPVP préconise un régime fondé sur les droits qui comprend une imputabilité démontrable, tout en prévoyant des exceptions aux règles de consentement en ce qui concerne l’utilisation de renseignements personnels à des fins socialement bénéfiques. La position du CPVP n’est pas juridiquement contraignante, mais il est utile de la comprendre en cas de plaintes en matière de protection des renseignements personnels, puisque le domaine de l’IA continue de progresser.

Les lignes directrices que le BSIF a récemment publiées sur l’utilisation responsable de l’IA reflètent des priorités semblables mettant l’accent sur une gouvernance efficace de l’IA, l’utilisation des données, l’éthique des systèmes d’IA et l’explicabilité, permettant aux clients de comprendre le fonctionnement de ces systèmes.

Lignes directrices de l’Ontario

La commissaire à l’information et à la protection de la vie privée (CIPVP) de l’Ontario a également suggéré que l’Ontario adopte une approche harmonisée et fondée sur les droits, en mettant notamment l’accent sur ce qui suit :

• étudier les effets du profilage des données, de l’exposition aux médias sociaux et de la prédiction algorithmique sur le développement psychologique des personnes, en particulier des enfants et des jeunes;
• élargir la définition des préjudices causés par les systèmes d’IA pour inclure les préjudices collectifs, et non seulement les préjudices physiques ou psychologiques, les dommages aux biens et les pertes économiques subis par un particulier;
• adopter une approche plus large des droits de la personne qui va au-delà des pouvoirs constitutionnels fédéraux qui réglementent les activités commerciales ou criminelles;
• élaborer une approche intégrée dans l’ensemble des secteurs public, privé et sans but lucratif de l’Ontario, particulièrement dans les domaines de la santé et du maintien de l’ordre;
• mener des évaluations de l’incidence algorithmique dans un cadre fondé sur des principes et axé sur les droits, qui établit un équilibre entre l’autonomie, la dignité et l’intégrité des personnes ou des groupes, les intérêts plus larges de la société et des considérations liées au bien public³.

La CIPVP a publié d’autres lignes directrices non contraignantes dans ses commentaires sur la politique d’une commission de services policiers concernant l’utilisation de l’IA. La CIPVP a insisté sur le besoin d’avoir une politique claire et de s’assurer que l’IA soit utilisée de manière transparente et responsable et qu’elle fasse l’objet d’une surveillance. Elle a recommandé des mesures telles que l’obligation de mettre en place un mécanisme de dénonciation pour signaler les infractions à la politique, une description claire des rôles et des responsabilités, la tenue de dossiers sur les technologies d’IA et la publication proactive d’informations sur les utilisations de l’IA sur le site Web de l’organisation. La commissaire a également souligné que l’utilisation de l’IA devrait faire l’objet d’une surveillance humaine et être clairement expliquée⁴.

Propriété intellectuelle

La législation sur la propriété intellectuelle au Canada n’a pas encore traité directement des questions qui se posent lorsque les systèmes d’IA créent ce qui serait autrement considéré comme de la propriété intellectuelle, par exemple lorsque des robots conversationnels produisent des œuvres écrites ou des programmes génèrent des œuvres d’art à la demande de l’utilisateur. Le Federal Circuit des États-Unis et la Cour suprême du Royaume-Uni ont conclu qu’un « inventeur » aux fins du droit des brevets doit être un être humain. Même si cette question n’a pas été portée devant les autorités canadiennes, il est probable que les décisions prises dans ces deux pays auront une influence sur les tribunaux canadiens.

En 2021, le gouvernement fédéral a proposé plusieurs approches pour déterminer comment les œuvres générées par l’IA pourraient être protégées en vertu de la Loi sur le droit d’auteur⁵, puisque que la jurisprudence canadienne en cette matière semble indiquer qu’un auteur doit être une personne physique : 1) attribuer la titularité d’œuvres générées par l’IA à la personne qui a pris les dispositions pour que l’œuvre soit créée; 2) préciser que le droit d’auteur et la titularité ne s’appliquent qu’aux œuvres créées par des êtres humains, et qu’aucun droit d’auteur ne peut subsister dans une œuvre créée sans la participation d’un être humain; ou 3) créer un nouvel ensemble de droits uniques « sans auteur » pour les œuvres générées par l’IA.

Bien que le gouvernement ait proposé ces mesures, la LIAD ne traite pas du droit d’auteur, et celui-ci demeure un enjeu important, surtout compte tenu de la popularité et de l’accessibilité croissantes des œuvres produites par l’IA.

La future réglementation de l’IA au Canada

Il y a de nombreuses réformes législatives à venir et proposées au Canada qui portent directement sur l’IA, dont la plus importante est la LIAD. Cette loi devrait entrer en vigueur au plus tôt en 2025.

Tant au fédéral qu’au provincial, les réformes à venir en matière de protection des renseignements personnels touchent également la prise de décisions automatisée et auront une incidence sur l’utilisation de l’IA dans les activités commerciales.

La Loi sur l’intelligence artificielle et les données

Le projet de loi fédéral C-27, s’il est adopté, mettra en place la première loi canadienne sur l’intelligence artificielle, la LIAD. Cette loi crée des obligations et des interdictions à l’échelle du Canada concernant la conception, le développement et l’utilisation de systèmes d’IA dans le cadre du commerce international ou interprovincial. Elle s’applique à tout « système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions ».

Selon le document complémentaire à la LIAD⁶, le gouvernement fédéral s’attend à ce que la loi et ses règlements entrent en vigueur au plus tôt deux ans après que le projet de loi C-27 aura reçu la sanction royale. Le projet de loi C-27 est actuellement en deuxième lecture à la Chambre des communes.

Les systèmes « à incidence élevée » dans la LIAD

Les obligations les plus importantes prévues par la LIAD s’appliquent aux systèmes d’IA « à incidence élevée ». Bien que ce terme n’ait pas été défini dans le projet de loi, le gouvernement a suggéré la prise en compte des facteurs suivants pour déterminer les systèmes d’IA à incidence élevée dans le règlement :

• des preuves de l’existence de risques de préjudices physiques ou psychologiques, ou d’un risque d’impact négatif sur les droits de la personne, en fonction à la fois de l’objectif et des conséquences potentielles non intentionnelles;
• La gravité des préjudices potentiels;
• l’ampleur de l’utilisation;
• la nature des préjudices ou des impacts négatifs qui ont déjà eu lieu;
• la mesure dans laquelle, pour des raisons pratiques ou juridiques, il est raisonnablement possible de se retirer de ce système;
• les déséquilibres en matière de situation économique ou sociale;
• l’âge des personnes qui utilisent le système ou interagissent avec celui-ci;
• la mesure dans laquelle les risques sont réglementés de façon adéquate en vertu d’une autre loi.

Le gouvernement fédéral a indiqué que ces considérations ne s’appliqueraient pas à une personne qui distribue ou publie des logiciels ou des modèles libres, puisque ces derniers ne sont pas considérés comme des systèmes d’IA complets. Elles s’appliqueraient toutefois à une personne qui offre un système d’IA à incidence élevée en libre accès et pleinement fonctionnel.

Exigences de la LIAD : systèmes à incidence élevée

Les développeurs et les exploitants de systèmes à incidence élevée ont des obligations élevées. Ainsi, ils devront :

• établir des mesures visant à cerner, évaluer et atténuer les risques de préjudice ou de résultats biaisés (l’expression « résultat biaisé » réfère aux motifs de distinction illicite prévus par la Loi canadienne sur les droits de la personne);
• contrôler le respect de ces mesures et évaluer leur efficacité;
• publier, sur un site Web accessible au public une description en langage clair du système qui indique la façon dont le système est utilisé, le contenu qu’il est censé générer, les mesures d’atténuation établies et tout autre renseignement prévu par règlement;
• aviser dès que possible le ministre si l’utilisation du système entraîne, ou entraînera vraisemblablement, un préjudice important.

Il est possible que le règlement introduise des exceptions à ces exigences pour les systèmes qui seraient autrement considérés comme des systèmes à incidence élevée en fonction des considérations énumérées ci-dessus, comme des exceptions à l’exigence de transparence pour les outils de sécurité ou de prévention de la fraude. Étant donné que de telles exceptions existent actuellement dans la législation sur la protection des renseignements personnels, il est possible qu’elles soient également introduites dans la LIAD.

Exigences de la LIAD : systèmes à incidence non élevée

Les systèmes qui ne sont pas considérés comme des systèmes à incidence élevée sont assujettis à des obligations moins lourdes. Les développeurs et les exploitants doivent seulement :

• évaluer si leur système est un système à incidence élevée;
• si le système traite ou rend disponibles aux fins d’utilisation des données anonymisées (données personnelles converties sous forme anonyme dans le but de protéger leur confidentialité), ils doivent établir, conformément aux règlements, des mesures concernant la manière d’anonymiser des données et l’utilisation ou la gestion des données anonymisées.

Deux rôles clés : le commissaire à l’intelligence artificielle et aux données et le ministre

La LIAD créera également un bureau dirigé par un commissaire à l’IA et aux données pour administrer la loi. Ce rôle viserait d’abord la sensibilisation et le soutien à la conformité, mais inclura éventuellement l’examen de la conformité et la mise en application. Le commissaire veillera à ce que la loi soit administrée et appliquée en fonction des capacités et de l’envergure de chaque organisation.

La LIAD accorde au ministre responsable des pouvoirs d’enquête et de mise en application importants, dont le pouvoir d’exiger la production de documents, d’ordonner à une entreprise de mener une vérification interne ou de retenir les services d’un vérificateur indépendant pour enquêter sur les contraventions possibles, d’ordonner à une entreprise de mettre en œuvre des mesures en réponse aux points soulevés dans le rapport de vérification, et d’imposer une sanction administrative pécuniaire.

Infractions et sanctions

La LIAD prévoit les infractions suivantes :

• enfreindre une des obligations énoncées ci-dessus;
• entraver l’action du ministre ou lui fournir des renseignements faux ou trompeurs;
• posséder ou utiliser des renseignements personnels, sachant qu’ils ont été obtenus illégalement, « afin de concevoir, de développer, d’utiliser ou de rendre disponible un système d’intelligence artificielle ».

À l’heure actuelle, les infractions réglementaires prévues par la LIAD entraîneront des sanctions administratives pécuniaires. Le montant de ces sanctions est inconnu et sera fixé par règlement.

Le document complémentaire précise que la LIAD créera trois nouvelles infractions criminelles en vertu du Code criminel qui visent à punir les activités liées à l’IA commises par une personne consciente du préjudice qu’elle cause ou risque de causer. Il s’agit des infractions suivantes :

• posséder ou utiliser sciemment des informations personnelles obtenues illégalement pour concevoir, développer, utiliser ou mettre à disposition un système d’IA. Cela pourrait inclure l’utilisation sciemment d’informations personnelles obtenues à partir d’une violation de données pour entraîner un système d’IA;
• rendre un système d’IA disponible, sachant ou ne se souciant pas de savoir, s’il est susceptible de causer des préjudices sérieux ou des dommages substantiels à la propriété, lorsque son utilisation cause effectivement de tels préjudices ou dommage;
• rendre un système d’IA disponible dans l’intention de frauder le public et de causer une perte économique substantielle à un individu, lorsque son utilisation cause réellement cette perte.

Contrairement aux infractions réglementaires qui entraînent des sanctions pécuniaires, les infractions criminelles peuvent faire l’objet d’enquêtes policières et de poursuites par le Service des poursuites pénales du Canada.

Notre compréhension de la LIAD pourrait changer avec l’adoption d’un règlement couvrant des éléments importants de la portée et du contenu de la loi. La LIAD pourrait également faire l’objet de modifications de fond par le Parlement. Les organisations concernées, particulièrement celles qui utilisent des systèmes d’IA « à incidence élevée », devraient donc surveiller son processus d’adoption.

Réformes des lois sur la protection des renseignements personnels

Loi sur le secteur privé (Québec)

La nouvelle disposition en matière de prise de décisions automatisée contenue dans l’article 12.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le secteur privé) du Québec entrera en vigueur en septembre 2023. Introduite dans le cadre du projet de loi n^o 64, elle accorde aux consommateurs le droit d’être informés lorsque leurs renseignements personnels sont utilisés pour prendre des décisions les concernant sans intervention humaine et de s’y opposer. Cette disposition s’applique aux décisions qui sont entièrement automatisées.

Elle oblige les organisations à :

• informer la personne concernée du processus décisionnel automatisé au moment de la prise de décision;
• offrir à la personne concernée la possibilité de soumettre des questions, des commentaires ou des plaintes à un représentant qui peut revoir la décision;
• permettre à la personne concernée de demander de corriger les renseignements personnels utilisés pour rendre la décision;
• si la personne concernée le demande, l’informer (i) des renseignements personnels utilisés pour rendre la décision; ii) des raisons, ainsi que des principaux facteurs et paramètres, ayant mené à la décision; iii) de son droit de faire rectifier les renseignements personnels utilisés pour rendre la décision.

Ce changement aura une incidence sur les organisations qui utilisent l’IA dans tout processus décisionnel entièrement automatisé fondé sur les renseignements personnels de clients ou d’employés au Québec. Les personnes concernées doivent être informées de chaque processus décisionnel automatisé pour lequel l’organisation utilise leurs renseignements personnels.

Loi sur la protection de la vie privée des consommateurs (au fédéral)

La Loi sur la protection de la vie privée des consommateurs (LPVPC) contenue dans le projet de loi C-27 vise à moderniser la législation canadienne sur la protection de la vie privée pour l’économie numérique. Cela comprend des restrictions concernant la prise de décisions automatisée, qui y est actuellement définie plus largement que dans la Loi sur le secteur privé du Québec. Selon le paragraphe 2(1) de la LPVPC, un système qui appuie le jugement de décideurs humains est considéré comme un système décisionnel automatisé, même si la prise de décisions n’est pas entièrement automatisée.

Selon l’article 62 de la loi, les organisations qui utilisent des systèmes décisionnels automatisés doivent rendre facilement accessibles, dans un langage clair, des renseignements expliquant l’usage qu’elles font des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir une incidence importante sur les individus concernés, y compris les décisions prises par un être humain à l’aide d’un système.

Le paragraphe 63(3) de la loi permet également aux individus de demander une explication pour toute décision automatisée qui pourrait avoir une incidence importante pour eux; dans la version actuelle de la loi, une organisation ne peut refuser une telle demande d’explication. L’article 55 permet aux organisations de refuser les demandes de retrait de renseignements personnels que si elles sont vexatoires ou faites de mauvaise foi.

Le projet de loi C-27 pourrait être adopté d’ici la fin de 2023, et il faudra probablement au moins un an après l’adoption pour que la LPVPC entre en vigueur.

Ailleurs dans le monde

Le gouvernement du Canada a indiqué dans son document complémentaire à la LIAD que l’interopérabilité avec les cadres juridiques d’autres territoires serait un « facteur important » dans l’élaboration de règlements, afin de faciliter l’accès des entreprises canadiennes aux marchés internationaux. Le Canada, l’UE et les États-Unis ont tous adopté des approches semblables fondées sur les droits, axées sur la transparence et l’imputabilité et conçues pour atténuer les préjudices potentiellement causés par l’IA dans la mesure du possible.

Union européenne

Compte tenu de l’influence internationale du RGPD en tant que norme mondiale en matière de protection des renseignements personnels, il est important de noter que l’UE a récemment adopté la législation sur l’IA (LIA) interdisant les utilisations de l’IA qui créent un « risque inacceptable » et réglementant l’utilisation d’applications d’IA « à haut risque ». La LIA, dont l’entrée en vigueur est prévue pour la fin de 2023 ou le début de 2024, décrit les exigences essentielles que les systèmes à haut risque doivent respecter (y compris la gouvernance des données, la transparence, la cybersécurité, la documentation, la surveillance et le contrôle humain) et la méthode utilisée pour classer un système comme étant à haut risque. Les systèmes à haut risque comprennent les systèmes utilisés par l’appareil répressif et judiciaire, dans le domaine de l’éducation et de la formation et dans le cadre de l’identification biométrique des personnes physiques.

La LIA interdit également certaines pratiques d’IA, telles que la notation sociale à des fins générales, l’exploitation d’enfants ou de personnes handicapées ou la manipulation subliminale susceptible de causer un préjudice, ainsi que l’identification biométrique à distance dans des espaces accessibles au public à des fins répressives. Certains systèmes d’IA qui ne sont pas à haut risque peuvent également être assujettis à des obligations de transparence accrues, exigeant d’informer les personnes lorsqu’elles interagissent avec un système d’IA⁷.

Aux États-Unis

Tout comme au Canada et dans l’UE, la réglementation de l’intelligence artificielle aux États-Unis en est encore au stade de l’examen et de l’élaboration, tant au niveau fédéral qu’étatique. En 2022, certains États, notamment New York et l’Illinois, ont commencé à réglementer les outils de prise de décision automatisée qui utilisent l’IA pour sélectionner des candidats et prendre des décisions en matière d’emploi. Les lois sur la protection des renseignements personnels qui devraient entrer en vigueur en 2023 en Californie, au Connecticut, au Colorado et en Virginie contiennent également des dispositions concernant la prise de décisions automatisée. Certaines de ces lois comprennent des dispositions sur les droits des consommateurs à l’égard des décisions fondées sur l’IA, la transparence de l’IA et les évaluations d’impact.

En 2021, l’Office of Science and Technology Policy de la Maison-Blanche a publié un plan d’action sur l’IA, Blueprint for an AI Bill of Rights⁸. Ce plan porte sur cinq principes pour la conception, l’utilisation et le déploiement de systèmes automatisés visant à protéger le public américain et prévoit des systèmes sûrs et efficaces, des mesures de protection contre la discrimination algorithmique, la confidentialité des données, la communication et l’explication de l’information, ainsi que la possibilité de recourir à une solution de rechange et de faire réexaminer la décision par un humain. Ce plan reflète des préoccupations similaires à celles de la législation et des lignes directrices canadiennes décrites ci-dessus. À l’heure actuelle, il n’est pas question d’adopter de législation fédérale sur le modèle du Blueprint for an AI Bill of Rights.

Au niveau fédéral, l’IA pourrait faire l’objet d’une législation et d’une réglementation par l’intermédiaire de la Federal Trade Commission (FTC) des États-Unis. En 2022, la FTC a publié un préavis de projet de réglementation portant sur la surveillance commerciale et la sécurité données et comprenant une analyse des systèmes décisionnels automatisés. Le public était invité à formuler des commentaires sur l’information que les entreprises devraient fournir aux consommateurs à l’égard de l’IA, l’interdiction d’utiliser l’IA à des fins injustes ou trompeuses et la certification de l’IA selon des normes d’exactitude, de validité et de fiabilité⁹.

Le National Institute of Standards and Technology (NIST) des États-Unis a récemment publié un cadre de gestion des risques liés à l’IA qui comprend des contrôles permettant aux organisations de démontrer la fiabilité de leur système d’IA (validité et fiabilité; sécurité, équité et impartialité; explicabilité et interprétabilité; transparence et imputabilité), ainsi qu’un cadre d’action pour aider les entreprises à gérer les risques liés à l’IA et à satisfaire aux critères de fiabilité¹⁰. Ce cadre est volontaire, mais le NIST a une grande influence dans l’élaboration de normes technologiques à l’échelle mondiale; au Canada, certaines organisations du secteur public exigent déjà que leurs entrepreneurs se conforment aux normes du NIST.

Conclusion

Bien que le contexte juridique et réglementaire de l’IA demeure incertain, nous observons un resserrement de la réglementation dans plusieurs pays. Les organisations qui développent ou produisent des systèmes d’IA devraient surveiller la réglementation afin de prévoir leurs obligations de conformité et d’éviter de devoir modifier leurs produits après l’entrée en vigueur de ces lois. Ces organisations devraient envisager de mettre en œuvre des politiques et des procédures écrites qui tiennent compte de leurs obligations prévues par les nouveaux cadres juridiques et réglementaires.