Réglementation de l’intelligence artificielle au Canada et dans le monde : tour d’horizon

Depuis la publication de notre Guide sur la réglementation de l’intelligence artificielle au Canada en avril 2023, l’essor de l’IA générative a incité plusieurs pays à réviser leurs approches à l’égard des mesures de protection à prendre relativement aux systèmes d’IA. Dans cet article, nous examinons les différentes approches réglementaires au Canada, aux États-Unis et en Europe et la manière dont celles-ci s’efforcent de suivre l’évolution continue des technologies de l’IA.

Réglementation de l’IA au Canada : état actuel et futur

Adoption prochaine de la Loi sur l’intelligence artificielle et les données

La première loi canadienne sur l’IA, la Loi sur l’intelligence artificielle et les données (LIAD), est encore à l’étude par la Chambre des communes dans le cadre du projet de loi C-27 (le Projet de loi). Elle a passé l’étape de la deuxième lecture et est actuellement examinée par le comité permanent de l’industrie et de la technologie. En novembre 2023, le ministre de l’Innovation, des Sciences et de l’Industrie a écrit au comité pour proposer quelques amendements substantiels en réponse aux commentaires des parties prenantes. Ces amendements seront probablement examinés par le comité dans le cadre de son étude article par article. Toutefois, compte tenu de l’état d’avancement de l’étude, il est peu probable que le Projet de loi reçoive la sanction royale avant la fin de l’année.

Lois et directives visant l’IA dans des secteurs précis

Au-delà des nouvelles lois visant spécifiquement l’IA, il y a des développements dans plusieurs domaines existants du droit qui touchent l’IA au Canada, notamment l’emploi, la protection des renseignements personnels et les droits de la personne.

En mars 2024, l’Ontario est devenue la première province à adopter une loi obligeant les employeurs à divulguer l’utilisation de l’IA dans le processus d’embauche, soit le processus de tri, d’évaluation et de sélection des candidats à un poste. (Bien que la loi ait été adoptée, aucune date n’a encore été fixée pour l’entrée en vigueur de cette exigence.) Nouvelle au Canada, cette obligation existe déjà ailleurs : la Local Law 144 de la ville de New York, entrée en vigueur en juillet 2023, exige des mesures de transparence semblables dans le processus d’embauche.

En ce qui concerne la protection des renseignements personnels, en décembre 2023, les autorités de protection de la vie privée fédérale, provinciales et territoriales du Canada ont publié conjointement des lignes directrices concernant la conformité avec les lois sur la vie privée (y compris la LPRPDE) dans le cadre du développement et de l’utilisation de l’IA. Ces lignes directrices mettent l’accent sur la protection des groupes vulnérables, confirment l’importance du consentement et de la transparence et énoncent les mesures que les entreprises peuvent prendre pour documenter leur conformité. Certaines utilisations de l’IA y sont désignées comme des « zones interdites » en vertu des lois existantes sur la protection des renseignements personnels, comme la création de contenu à des fins malveillantes ou diffamatoires. Bien que ces lignes directrices ne soient pas contraignantes, elles constituent une interprétation des lois existantes et permettent de mieux comprendre la manière dont seront examinées les plaintes relatives à l’utilisation de l’IA.

L’utilisation de l’IA à des fins malveillantes est également visée par d’autres lois, particulièrement en ce qui concerne la création d’images intimes « hypertruquées » sans consentement¹. Ainsi, le projet de loi fédéral C-63, qui vise à améliorer la sécurité en ligne, inclut actuellement les images hypertruquées dans sa définition de « contenu intime communiqué de façon non consensuelle » – une forme de contenu préjudiciable qu’il cherche à contrer en imposant des obligations de modération aux services de médias sociaux.

Le Québec prend de l’avance

Certaines technologies liées à l’IA ont été incluses dans le cadre de la récente réforme des lois sur la protection des renseignements personnels au Québec. Ainsi, les organisations devront informer les utilisateurs lorsqu’ils utilisent des processus de prise de décision entièrement automatisés et recueillent de l’information à l’aide d’outils technologiques permettant de les identifier, de les localiser ou d’effectuer leur profilage. Dans certains cas, ces fonctions devront être activées par les utilisateurs.

Malgré ces mesures, certains intervenants réclament la mise en place d’un cadre réglementaire à l’égard de l’utilisation de l’IA. En janvier 2024, le Conseil de l’Innovation du Québec a soumis un rapport de recommandations à cet effet au ministère de l’Économie, de l’Innovation et de l’Énergie. Fruit de consultations avec des centaines d’experts, le rapport recommande une révision des lois existantes, particulièrement dans le domaine de l’emploi, pour s’adapter aux changements induits par l’IA, ainsi que la création d’un comité de pilotage transitoire sur la gouvernance de l’IA afin de poursuivre les travaux visant à encadrer adéquatement l’IA et de mettre en place les conditions propices à l’intégration réussie de l’IA dans la société québécoise.

Recommandations pour les entreprises

Tournée vers l’avenir, l’approche réglementaire au Canada est caractérisée par un ensemble disparate d’exigences à différents stades d’élaboration, d’adoption et de mise en œuvre.

Même si la LIAD n’a pas encore été adoptée, les entreprises canadiennes doivent pouvoir gérer les risques juridiques existants liés à l’utilisation de l’IA (notamment en matière de vie privée, de propriété intellectuelle, de protection des consommateurs et d’emploi). Pour se faire, elles devraient se doter d’un cadre de gouvernance énonçant les politiques, les obligations et les responsabilités internes en matière d’IA. Cela leur sera également utile pour alléger le fardeau réglementaire au moment de l’entrée en vigueur des nouvelles exigences.

Les entreprises qui intègrent des outils d’IA à leurs activités doivent se préparer aux nouvelles exigences en établissant des pratiques exemplaires dès maintenant, pour éviter de devoir adopter des mesures de conformité coûteuses et compliquées en aval.

Réglementation de l’IA ailleurs dans le monde

La montée de l’IA partout dans le monde suscite l’émergence d’une multitude de lois, de traités et de lignes directrices. Ces mesures visent à promouvoir le développement, la distribution et l’utilisation responsables de l’IA en Europe, aux États-Unis et dans le cadre du droit international.

Europe : Règlement sur l’IA et directives connexes

Règlement sur l’intelligence artificielle

C’est en août 2024 qu’est entré en vigueur le Règlement sur l’intelligence artificielle (RIA) adopté par l’Union européenne, certaines de ses dispositions devenant applicables seulement au cours des deux prochaines années. Le RIA impose notamment des obligations en matière de gestion des risques, de gouvernance des données, de documentation et de tenue de registres, de supervision humaine, de cybersécurité, de transparence et de contrôle de la qualité.

Il s’applique aux fournisseurs, déployeurs, importateurs, distributeurs et autres acteurs responsables de systèmes d’IA au sein de l’UE, ainsi qu’aux fournisseurs et déployeurs étrangers dont les produits sont utilisés au sein de l’UE. Comme dans le cas du Règlement général sur la protection des données de l’UE, le RIA peut donc s’appliquer aux entreprises canadiennes ayant des activités ou des clients dans l’UE.

Le RIA interdit notamment l’utilisation de systèmes d’IA qui présentent un « risque inacceptable », c.-à-d. ceux qui permettent la notation sociale, l’identification en temps réel et la catégorisation biométriques (à quelques exceptions près), ainsi que les systèmes qui causent un préjudice en manipulant et en exploitant les groupes vulnérables. Tout comme la LIAD qui vise les systèmes « à incidence élevée » au Canada, le RIA vise les systèmes « à haut risque » ainsi que certains aspects des systèmes d’IA à usage général. Les systèmes à haut risque comprennent ceux utilisés pour la gestion et l’exploitation d’infrastructures critiques, l’éducation et la formation professionnelle, l’accès aux services et prestations essentiels, la répression, le contrôle des frontières et l’administration de la justice.

Autres directives et cadres de l’UE

Le projet de Directive sur la responsabilité en matière d’IA prévoit un cadre de responsabilité civile extracontractuelle pour les personnes lésées par les systèmes d’IA.

En mai 2024, le Conseil de l’Europe a adopté la Convention-cadre sur l’intelligence artificielle (la Convention) : le premier traité international réglementant l’utilisation de l’IA. La Convention définit un cadre visant les pouvoirs publics et les acteurs privés dont les systèmes d’IA « risquent de porter atteinte aux droits de l’homme, à la démocratie ou à l’État de droit ». Elle oblige notamment les fournisseurs d’IA à déclarer l’utilisation de l’IA, à mener des évaluations des risques et des impacts et à prévoir des mécanismes de recours. La Convention est ouverte aux signatures des États membres à partir du 5 septembre 2024.

Au printemps 2024, le Conseil de l’Europe et le Parlement européen sont parvenus à un accord provisoire sur une directive relative au travail sur plateforme (la Directive) réglementant les conditions de travail sur les plateformes numériques. En vertu de celle-ci, les travailleurs des plateformes ne pourront pas être congédiés uniquement sur la base de processus de prise de décision automatisés et une surveillance humaine sera exigée pour toute décision les touchant directement.

États-Unis : Algorithmic Accountability Act of 2023 et législation des États

Au fédéral

Il n’existe actuellement aucun projet de loi fédéral visant à réglementer l’IA aux États-Unis comme la LIAD au Canada ou le RIA dans l’UE. Par contre, en 2023, le Sénat américain a introduit l’Algorithmic Accountability Act of 2023, une loi régissant l’utilisation de la prise de décision automatisée dans des situations « à incidence levée » dans le domaine du logement, des finances, de l’emploi et de l’éducation. On y prévoit la création d’un bureau de la technologie par la Federal Trade Commission qui sera chargé de veiller à l’application et à la mise en œuvre de la loi. 

Voici d’autres initiatives fédérales américaines visant à réglementer l’IA :

• National Institute of Standards and Technology (NIST) : Le NIST, une agence du ministère américain du Commerce, a publié en 2023 un ensemble de lignes directrices non contraignantes intitulé AI Risk Management Framework, visant à gérer les risques liés à l’IA et à accroître la confiance dans la conception, le développement et l’utilisation des systèmes d’IA.
• Maison-Blanche : En octobre 2023, le président Biden a signé un décret présidentiel intitulé Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence énonçant les principes qui doivent régir le développement et l’utilisation de l’IA par les ministères et les agences du gouvernement américain. Le décret met l’accent sur : (i) la sécurité, (ii) la recherche et le développement responsables, (iii) l’équité et la lutte contre la discrimination, et (iv) la protection de la vie privée et des libertés civiles. Il prévoit également l’élaboration de normes fédérales conformément à ces principes.

Lois adoptées par les États

Le Colorado, l’Utah, l’Illinois, le Massachusetts, l’Ohio et la Californie ont proposé ou adopté des lois visant à réglementer le développement et l’utilisation de l’IA dans le secteur privé. Pour la plupart, ces lois visent des catégories précises de systèmes d’IA, notamment les systèmes à incidence élevée et l’IA générative. 

Celle qui a suscité le plus d’intérêt est la loi SB 1047 de la Californie, bastion de l’industrie technologique. Adoptée par le sénat et l’assemblée législative de l’État, elle n’a pas encore été promulguée. La SB 1047 cherche à assurer le développement sécuritaire des modèles d’IA et s’applique aux développeurs d’IA qui offrent des services en Californie, peu importe où se trouve leur siège social. Contrairement aux lois du Canada et de l’Europe, elle s’applique uniquement aux modèles d’IA à grande envergure définis selon leur puissance de calcul et non des facteurs qualitatifs liés à leur utilisation. Les développeurs devront respecter diverses exigences en matière de mise à l’essai et de sécurité des systèmes. En cas de non-conformité, ils s’exposent notamment à des sanctions civiles pouvant aller jusqu’à 10 % du coût de la puissance de calcul utilisée pour entraîner le modèle.

Accords internationaux

Plusieurs organisations publiques internationales ont publié des accords ou des lignes directrices relativement à l’IA. Bien que non contraignants, ces documents donnent un bon aperçu des principes directeurs du droit international, tant pour les entités privées que pour les entités publiques.

• Nations Unies : En mars 2024, l’Assemblée générale des Nations Unies a adopté une résolution non contraignante, intitulée Saisir les possibilités offertes par des systèmes d’intelligence artificielle sûrs, sécurisés et dignes de confiance pour le développement durable, qui préconise une approche réglementaire axée sur la sécurité, le respect des droits de la personne et des libertés fondamentales et l’inclusivité.
• Organisation de coopération et de développement économiques (OCDE) : Adoptée en 2019 et amendée en mai 2024, la Recommandation du Conseil sur l’intelligence artificielle de l’OCDE fournit des lignes directrices non contraignantes aux États membres et aux parties prenantes qui énoncent les principes d’une approche responsable en appui d’une IA digne de confiance et des recommandations pour la gouvernance de l’IA.
• G7 : Initié en 2023, le processus d’Hiroshima sur l’IA du G7 représente un cadre d’action non contraignant fondé sur les principes suivants : promouvoir une IA sécuritaire et digne de confiance; fournir des orientations aux organisations qui développent et utilisent les systèmes d’IA; analyser les possibilités et les défis que représente l’IA; et promouvoir la coopération pour le développement d’outils et de pratiques en matière d’IA.

Recommandations pour les entreprises

Même si les organisations ne sont pas directement soumises aux accords internationaux susmentionnés, ceux-ci ont un impact sur la législation canadienne, les exigences des clients, des fournisseurs et des partenaires étrangers, ainsi que les normes du secteur. Nous recommandons particulièrement aux entreprises qui exercent des activités en Europe de prendre note de ces développements et de veiller à la conformité de leurs cadres de gouvernance de l’IA.