Le CIPVP et la CODP de l’Ontario émettent des principes pour l’utilisation responsable de l’IA

Alors que les autorités de réglementation canadiennes veillent à ce que les institutions utilisent l’IA en conformité avec les valeurs clés du Canada, le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) et la Commission ontarienne des droits de la personne (CODP) ont récemment communiqué leurs attentes à l’égard des organisations dans leurs Principes pour l’utilisation responsable de l’intelligence artificielle¹ (les « Principes »), qu’ils ont élaborés conjointement. Même si les Principes n’imposent pas nécessairement d’exigences légales supplémentaires aux organisations, le CIPVP et la CODP s’en serviront pour déterminer si les organisations mettent en place des systèmes d’IA dans le respect de leurs obligations en matière de protection de la vie privée et des droits de la personne. De plus, il est « fortement recommandé » aux institutions d’adopter les Principes afin de s’assurer de leur conformité aux lois ontariennes sur les droits de la personne et la protection de la vie privée.

Ce que vous devez savoir

• Pour adhérer aux Principes, les organisations doivent : a) veiller à ce que leurs systèmes d’IA soient valides et fiables, qu’ils soient sûrs, qu’ils soient respectueux de la vie privée, qu’ils protègent les droits de la personne et qu’ils soient transparents; et b) mettre en place des structures assurant une responsabilité et une supervision humaine.
• Les principales attentes sont les suivantes :
  • Des normes relatives à des essais indépendants et une preuve démontrant que les systèmes d’IA sont conformes aux exigences liées à leur utilisation prévue.
  • Une documentation détaillée et rédigée en langage clair sur les systèmes d’IA, y compris sur les évaluations, les sources des données, les fins prévues, les modes d’utilisation et l’incidence possible des extrants.
  • Des structures de gouvernance de l’IA qui attribuent des responsabilités clairement définies et qui assurent une intervention humaine.
• Ces attentes sont étroitement liées aux lignes directrices nationales et internationales applicables en matière d’IA responsable. Elles réaffirment la nécessité pour les organisations de se doter de politiques de gouvernance et d’utilisation de l’IA ou de mettre à jour celles qui existent.

Les six principes directeurs pour l’utilisation responsable de l’IA

Le CIPVP et la CODP mentionnent que les six principes suivants sont d’importance égale et qu’ils doivent être pris en considération tout au long du cycle de vie d’un système d’IA, que ce soit lors de sa conception et de sa modélisation, de son déploiement ou de sa mise hors service.

1. Validité et fiabilité. Les systèmes d’IA doivent donner des résultats valides, fiables et exacts. Pour être « valide », un système d’IA doit répondre à des normes relatives à des essais indépendants, et il doit être possible de démontrer de façon objective qu’il est conforme à toutes les exigences établies pour une utilisation donnée. Pour être « fiable », un système d’IA doit présenter, dans les environnements pour lesquels il a été conçu et dans des environnements imprévus, un rendement constant qui répond aux exigences. La validité et la fiabilité d’un système d’IA doivent être vérifiées avant son déploiement et à intervalles réguliers tout au long de son cycle de vie.
2. Sécurité. L’IA doit être élaborée, utilisée et gérée de manière à protéger les droits de la personne, y compris les droits à la vie privée et à la non-discrimination. Les systèmes d’IA doivent être soumis à des mesures de cybersécurité rigoureuses et être surveillés régulièrement afin d’éviter toute utilisation abusive. Chaque fois qu’une technologie d’IA est utilisée à une nouvelle fin, il faut effectuer une évaluation approfondie afin de s’assurer qu’elle est sûre. Les systèmes d’IA qui ne sont pas sûrs doivent être désactivés ou mis hors service, et tout impact négatif sur des groupes ou des personnes doit être soumis à un examen.
3. Respect de la vie privée. Les systèmes d’IA doivent être conçus en ayant à l’esprit la protection de la vie privée. Dès la conception, les développeurs, les fournisseurs et les utilisateurs de l’IA doivent prendre des mesures pour protéger les renseignements personnels et limiter leur utilisation. Toute personne qui recueille, traite, conserve ou utilise des données pour développer, entraîner ou exploiter un système d’IA doit être clairement et légalement autorisée à le faire. Les particuliers devraient être informés lorsque leurs renseignements sont utilisés. Le cas échéant, ils devraient avoir la possibilité d’accéder à leurs renseignements personnels utilisés ou générés par l’IA.
4. Protection des droits de la personne. La protection des droits de la personne doit être intégrée dans la conception des systèmes d’IA et les procédures connexes. Les institutions qui utilisent l’IA doivent prévenir la discrimination et veiller au respect de la Charte canadienne des droits et libertés.
5. Transparence. Les organisations doivent faire preuve de transparence en expliquant la manière dont les systèmes d’IA sont utilisés et la manière dont ils fonctionnent. Elles doivent fournir des documents rédigés en langage clair sur les systèmes d’IA tout au long de leur cycle de vie, notamment a) des évaluations de l’impact sur la vie privée ou de l’impact algorithmique; b) les sources des données personnelles utilisées pour entraîner ou exploiter les systèmes; c) les fins prévues des systèmes; d) leurs modes d’utilisation; e) l’incidence possible de leurs extrants sur des particuliers ou des communautés. De plus, les organisations doivent aviser les particuliers des situations où ils interagissent avec un système d’IA et du fait que des renseignements qui leur sont fournis ont été générés par un tel système. Les organisations doivent être en mesure de recueillir les renseignements essentiels sur le système, y compris des renseignements sur le modèle et son utilisation prévue, des données d’entraînement et de validation, ainsi que des données sur les mesures de surveillance.
6. Responsabilité. Les organisations devraient se doter d’une structure de gouvernance interne qui définit clairement les rôles, les responsabilités et les procédures de surveillance, et qui assure une intervention humaine. Les institutions devraient documenter leurs décisions relatives à leurs choix en matière de conception et d’application, et être disposées à expliquer le fonctionnement d’un système d’IA à tout organisme de surveillance indépendant qui lui en fait la demande. Des mécanismes de protection des lanceurs d’alerte devraient être mis en place pour garantir le signalement sûr et rapide des cas de non-conformité des systèmes d’IA.

Conséquences pour les organisations

Les organisations doivent évaluer la nécessité de se doter de politiques et de pratiques en matière de gouvernance de l’IA, ou de mettre à jour celles qui existent, pour se conformer aux principes. Même si les principes s’appliquent principalement au secteur public, les entreprises qui fournissent des services à ce secteur ou qui collaborent avec lui – surtout celles qui utilisent l’IA pour le faire – doivent connaître les attentes et être conscientes de la possibilité qu’elles y soient aussi tenues.