Article
- L'Association des banquiers canadiens (ABC) s’harmonise avec les objectifs stratégiques du gouvernement visant à promouvoir le développement responsable et l’utilisation des systèmes d’intelligence artificielle (IA) d’une manière qui soutient les principes existants en droit canadien et qui est conforme aux principes d’IA de l’Organisation de coopération et de développement économiques (OCDE).
- Dans un domaine en rapide évolution comme l’IA, il est nécessaire d’établir un cadre de réglementation en matière d’IA souple et axé sur le risque afin que les organisations canadiennes puissent servir les consommateurs d’une manière qui favorise la confiance et renforce la confiance dans le développement, le déploiement et l’utilisation responsables de l’IA, y compris les systèmes génératifs d’IA.
- Pour cette raison, il est important que la Loi sur l’intelligence artificielle et les données (« LIAD » ou la « Loi ») demeure fondée sur des principes et axée sur les résultats, tandis que les éléments propres à la technologie (p. ex. les références à des technologies particulières et les discussions sur celles‑ci) devraient être laissés à la réglementation.
- L’aspect coordination et coopération avec les partenaires nationaux, y compris les organismes de réglementation comme le Bureau du surintendant des institutions financières (BSIF), et les partenaires internationaux, en particulier au G7, constitue également un élément essentiel permettant d’assurer un degré d’interopérabilité et d’harmonie entre les divers cadres législatifs et de réglementation en matière d’IA ainsi que d’autres cadres pertinents (p. ex., protection des renseignements personnels ou cybersécurité).
- Par conséquent, nous sommes d’avis que des modifications ciblées sur les aspects suivants de la Loi sont nécessaires pour fournir aux organisations canadiennes la certitude dont elles ont besoin pour continuer à soutenir la concurrence mondiale et à innover dans une économie fondée sur les données tout en réalisant l’objectif du gouvernement de protéger les personnes contre les préjudices causés par les systèmes d’IA.
- Portée des systèmes d’intelligence artificielle : Modifier la définition d’un système d’IA pour soutenir l’intention stratégique de la LIAD et éviter d’élargir inutilement la portée des systèmes visés par la LIAD.
- Obligations en matière de transparence et dispositions connexes : Modifier les exigences relatives à la divulgation publique par les intervenants pertinents en vertu de la LIAD et inclure des exceptions appropriées afin que les organisations ne soient pas obligées de divulguer des renseignements exclusifs ou sensibles, ce qui protégera en dernier ressort le public et les organisations contre les préjudices évitables qui pourraient être causés par la divulgation générale de risques ou par des mesures d’atténuation.
- Cela comprend l’obligation pour les personnes responsables en vertu de la Loi de divulguer des renseignements prescrits, ainsi que le droit de divulguer des renseignements par i) le ministre ou le commissaire à d’autres personnes et ii) le droit de publier des renseignements par le ministre ou le commissaire.
- Clarification des obligations dans l’ensemble de la chaîne de valeur de l’IA : Il faut établir un ensemble non équivoque de distinctions entre les intervenants et les activités, et leurs interdépendances dans la chaîne de valeur de l’IA, au moyen de consultations ciblées, afin d’éviter les obligations confuses, conflictuelles ou qui se chevauchent. Les divers intervenants auront ainsi la clarté opérationnelle nécessaire pour demeurer responsables de leurs obligations tout au long du cycle de vie d’un système d’IA.
Mise en oeuvre et autres considérations : Nous croyons qu’il est essentiel de veiller à ce que les organisations disposent d’une marge de manoeuvre suffisante (au moins deux ans) pour gérer et mettre en oeuvre de nouveaux changements une fois que la LIAD aura reçu la sanction royale et que la grande partie des obligations en vertu de la LIAD seront publiées par voie de règlements. Nous avons également inclus des recommandations relatives à plusieurs considérations clés ci‑dessous qui devraient être abordées lors de la consultation avec les intervenants sur les règlements relatifs à la LIAD.
En conclusion, il est évident que les modifications proposées à la LIAD représentent une étape importante dans l’avancement de la réglementation et de la gouvernance des technologies émergentes. Cependant, il est essentiel qu’Innovation, Sciences et Développement économique Canada (ISDE) continue de consulter les experts, les intervenants et le public dans le cadre d’un processus de consultation publique qui assure une approche complète et équilibrée de la réglementation de l’IA. En favorisant la collaboration et en demeurant vigilant à l’égard de la nature changeante de l’IA, le Canada peut relever efficacement les défis et saisir les occasions que présente cette technologie transformatrice, ce qui profitera en fin de compte aux Canadiens et à la société dans son ensemble.
Les recommandations de l’ABC ci-dessous s’appliquent à la loi originale et à ses renvois. Les domaines dans lesquels les recommandations s’appliquent aux modifications proposées par l’ISDE sont indiqués en tant que tels.
ANNEXE : Détails des recommandations de l’ABC
1. Portée des systèmes d’IA
Définition de système d’IA
Texte original de la LIAD : système d’intelligence artificielle Système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions. (artificial intelligence system).
Modification proposée par ISDE : système d’intelligence artificielle Système technologique qui, à l’aide d’un modèle, fait des déductions afin de générer des résultats, y compris des prédictions, des recommandations ou des décisions.
Recommandation de l’ABC : Nous sommes d’accord avec la suppression des mentions à « d’autres techniques » dans la définition modifiée proposée par le gouvernement afin d’éviter d’élargir la portée des systèmes d’IA, car cela pourrait accroître (mais cela est évitable) la complexité et la mauvaise affectation des ressources aux organisations canadiennes.
Si l’on souhaite harmoniser la définition des systèmes d’IA au Canada avec celle de l’OCDE, il est important de s’assurer que la définition finale évite de dépasser les paramètres de la Loi et met l’accent sur les risques et les répercussions sur les personnes (c.‑à‑d. les résultats), plutôt que sur les données traitées par un système d’IA.
Systèmes à incidence élevée
Modification proposée par ISDE (article 37.1) : Les règlements pris en vertu des articles 36 et 37 peuvent établir des distinctions entre différentes catégories de systèmes d’intelligence artificielle.
Nous croyons savoir qu’ISDE a l’intention de mener de vastes consultations sur les différentes catégories de systèmes d’IA, ce qui permettrait d’établir des exigences réglementaires distinctes pour les différentes catégories et sous‑catégories de systèmes à incidence élevée et les différents types de systèmes à usage général comme le laissent entendre les modifications proposées à l’article 37.1. À l’heure actuelle, la Loi ne précise pas quels détails sont visés par le terme « catégories » et ne tient aucunement compte du fait que certaines applications de systèmes d’IA à incidence élevée ou à usage général seront beaucoup moins risquées que d’autres, même au sein d’une catégorie ou d’une sous‑catégorie de systèmes à incidence élevée ou de catégories à usage général.
Recommandation de l’ABC : Nous recommandons l’inclusion d’un libellé précis dans la Loi afin de définir clairement ce qu’on entend par catégories de systèmes à incidence élevée et de systèmes d’IA à usage général et de permettre des dispositions particulières entre les catégories et les sous‑catégories ainsi qu’au sein de ces catégories. Cela comprend des seuils de risque pour faciliter la distinction entre les systèmes à incidence élevée et les systèmes à usage général qui présentent un risque faible et ceux qui présentent un risque élevé de préjudice au sein d’une catégorie donnée.
Les commentaires des intervenants au cours de ces consultations seront essentiels pour s’assurer que les exigences liées aux différentes catégories et sous‑catégories de systèmes à incidence élevée, ainsi qu’aux modèles d’apprentissage automatique et aux systèmes d’IA à usage général, soutiendront en fin de compte l’objectif stratégique de la Loi, qui est de prévenir les dommages et les résultats biaisés injustifiés, de tenir compte des différences entre les divers secteurs et de s’assurer qu’il existe des limites appropriées pour éviter l’inclusion inutile de systèmes d’IA à faible risque ou de cas d’utilisation.
2. Obligations en matière de transparence et dispositions connexes
Divulgations publiques
Texte original de la LIAD (par. 11(1)) : La personne qui rend disponible un système à incidence élevée publie, sur un site Web accessible au public, selon toute modalité fixée par règlement, une description, en langage clair, du système qui prévoit, notamment, les éléments suivants :
- l’utilisation visée;
- le contenu qu’il est censé générer, les prédictions ou recommandations qu’il est censé faire ou les décisions qu’il est censé prendre;
- les mesures d’atténuation établies à son égard au titre de l’article 8;
- tout autre renseignement prévu par règlement.
Modification proposée par ISDE (al. 11(1)f)) : La personne qui gère l’exploitation d’un système à incidence élevée publie, sur un site Web accessible au public, selon toute modalité fixée par règlement, une description, en langage clair, du système qui prévoit, notamment, les renseignements suivants :
- l’utilisation visée,
- les types de résultats qu’il génère,
- les mesures d’atténuation établies à son égard au titre de l’alinéa b),
- tout autre renseignement prévu par règlement.
Modification proposée par ISDE (al. 7(1)f)) : Avant qu’un système à usage général ne soit mis à la disposition pour la première fois dans le cadre du commerce international ou interprovincial, la personne qui le met à la disposition de cette première fois doit s’assurer de ce qui suit :
f. une description en langage clair a été préparée :
- les capacités et des limites du système;
- les risques de préjudice ou de production biaisée visés à l’alinéa c);
- tout autre renseignement prévu par règlement.
Modification proposée par ISDE (al. 8(1)a)) : La personne qui met à la disposition du public un système à usage général doit :
- mettre la description en langage clair, mentionnée à l’alinéa 7(1)f), à la disposition des utilisateurs du système ou, si le système est mis à la disposition du public, la publier sur un site Web accessible au public dans le délai et les modalités prévus par règlement;
- prendre toute mesure prévue par règlement.
Recommandation de l’ABC : Nous recommandons d’éliminer l’obligation pour les organisations de divulguer publiquement les mesures d’atténuation et les risques en vertu des sous-alinéas 11(1)f)(iii) (art. 11 de la Loi originale) et 7(1)f)(ii) et de l’alinéa 8(1)a) respectivement, car cela pourrait entraîner la divulgation de renseignements sensibles ou par ailleurs confidentiels d’une organisation ou d’un tiers, et en plus d’introduire un risque pour l’organisation ou le public (p. ex., compromettre l’efficacité des systèmes d’IA, exposer les renseignements exploitables liés aux systèmes essentiels) qui pourraient ne pas être équilibrés avec les avantages que ces renseignements visent à procurer.
De façon plus générale, si les obligations de divulgation proposées en vertu des alinéas 11(1)f) (par. 11(1) de la Loi originale) et 8(1)a) sont adoptées, une exception devrait être instaurée afin d’assurer une plus grande certitude que les organisations ne seront pas obligées de divulguer des renseignements commerciaux confidentiels ou des renseignements concernant des systèmes sensibles, car cela entraînerait un risque plus élevé (et évitable) pour les organisations et le public (p. ex., les systèmes liés à la sécurité ou utilisés pour prévenir les crimes financiers)1.
Dans leur libellé actuel, les obligations en matière de divulgation proposées risquent également d’entraîner une mauvaise affectation des ressources organisationnelles aux gestionnaires de systèmes à incidence élevée ou à usage général qui sont déployés dans des cas d’utilisation relativement à faible risque.
Afin d’établir un meilleur équilibre entre l’intention de la LIAD d’améliorer l’utilisation transparente des systèmes d’IA et la nécessité de protéger les renseignements confidentiels et sensibles des organisations, nous recommandons qu’un compte général des systèmes d’IA, y compris les systèmes d’IA à incidence élevée et à usage général, semblable aux dispositions énoncées dans le paragraphe 62(2) de la Loi sur la protection de la vie privée des consommateurs (LPVPC), fournirait un niveau de détail approprié au public sans divulguer de renseignements propres au système. Des renseignements supplémentaires ou des renseignements détaillés sur des systèmes d’IA précis pourraient être fournis au ministre ou au commissaire sur demande ou au moyen de vérifications.
Publication sans consentement : Le paragraphe 28(1) permet la publication de renseignements par le ministre sans consentement ni avis à la personne concernée par les renseignements.
Recommandation de l’ABC : Nous recommandons d’ajouter une obligation, en vertu de cet article, d’aviser et de consulter d’abord l’organisation touchée (ou les organisations touchées) et d’instaurer une certaine forme de processus de confirmation ou de résolution, avant que le gouvernement ait le droit de publier ces renseignements, qui peuvent être sensibles sur le plan de la concurrence, hautement confidentiels ou les deux.
Divulgation aux destinataires : Selon le paragraphe 26(2), il n’y a aucune restriction législative empêchant le destinataire de divulguer les données.
Recommandation : Une telle restriction devrait être ajoutée en plus de l’obligation pour le destinataire d’assurer la confidentialité des renseignements en vertu des dispositions législatives qui le régissent.
3. Clarification des obligations dans l’ensemble de la chaîne de valeur de l’IA
Texte original de la LIAD (par. 5(2)) : Pour l’application de la présente partie, est responsable d’un système d’intelligence artificielle, notamment un système à incidence élevée, la personne qui, dans le cadre des échanges ou du commerce internationaux ou interprovinciaux, le conçoit, le développe ou le rend disponible ou en gère l’exploitation.
Modification proposée par ISDE2:
(par. 9(1) : Élaboration de modèles d’apprentissage automatique aux fins d’usage à incidence élevée et des exigences connexes aux alinéas 9)a) à 9(1)d)
(par. 10(1)) : Mise à disposition d’un système à incidence élevée et exigences connexes prévues aux alinéas 10(1)a) à 10(1)h)
(par. 11(1)) : Gestion de l’exploitation d’un système à incidence élevée et des exigences connexes prévues aux alinéas 11(1)a) à 11(1)i)
(par. 7(1)) : Mise à disposition d’un système à usage général pour la première fois et exigences connexes prévues aux alinéas 7(1)a) à 7(1)h)
(par. 8(1)) : Mise à disposition d’un système à usage général pour la première fois et exigences connexes prévues aux alinéas 8(1)a) à 8(1)h)
(art. 8.2(1)) : Gestion de l’exploitation d’un système à incidence élevée et des exigences connexes prévues aux alinéas 8.2(1)a) à 8.2(1)g)
Recommandation de l’ABC : Nous recommandons une clarté accrue dans la Loi ou dans les règlements pris en vertu de la LIAD afin de faciliter une mise en correspondance sans ambiguïté de la façon dont les divers rôles et intervenants prévus par la Loi se rapportent aux activités pratiques dans toute la chaîne de valeur de l’IA des personnes qui participent à la recherche, au développement, à la distribution, à l’approvisionnement, à l’opérationnalisation et à l’utilisation des systèmes d’IA dans différents cas d’utilisation.
ISDE devra fournir aux organisations des précisions sur les distinctions et les interdépendances entre les divers intervenants que la loi vise à réglementer, y compris, par exemple, les développeurs de modèles d’apprentissage automatique conçus aux fins d’un usage à incidence élevée, les développeurs de systèmes à incidence élevée (selon le texte original de la Loi), les personnes qui mettent à la disposition des utilisateurs des systèmes d’IA à incidence élevée ou des systèmes d’IA à usage général (selon les modifications proposées), et les personnes qui gèrent l’exploitation de ces systèmes d’IA à incidence élevée ou systèmes d’IA à usage général. Le rôle des personnes responsables de modifier un système à incidence élevée ou à usage général (en vertu des parargraphes 10.2(1) et 8.1(1) des modifications) en vertu de la Loi n’est pas clair. Leurs obligations correspondantes ne sont pas claires non plus.
Sans cette clarté, les organisations et les personnes responsables, particulièrement celles qui oeuvrent dans des secteurs fortement réglementés, ne seront pas en mesure de déterminer efficacement ce dont elles sont responsables et ce dont elles ne sont pas responsables en vertu de la Loi, ainsi que le niveau de coordination et de diligence raisonnable requis pour s’acquitter de leurs obligations proposées.
Nous soulignons l’importance de veiller à ce que le gouvernement n’attribue pas de responsabilités imprécises ou qui se chevauchent à de multiples intervenants, en particulier ceux qui n’auraient pas le niveau requis de contrôle ou de responsabilité pour exercer l’activité prescrite.
De plus, les interdépendances importantes entre les divers intervenants de la chaîne de valeur de l’IA prescrites par les modifications (y compris les exigences visant à s’assurer que d’autres parties s’acquittent de leurs obligations en vertu de la loi) doivent être à la fois clarifiées et réduites au minimum, car ces éventualités pourraient restreindre ou dissuader les organisations canadiennes et d’autres entités d’utiliser les systèmes d’IA de tiers et avoir une incidence sur la capacité des fournisseurs de vendre ou d’octroyer des licences de systèmes d’IA aux organisations canadiennes.
Cela nuirait à la capacité des organisations canadiennes d’innover et de faire concurrence tant à l’échelle locale qu’internationale.
Afin d’éviter ce résultat, une clarté accrue est en fin de compte nécessaire quant à la façon dont les organisations peuvent satisfaire aux exigences prévues aux paragraphes 8.2(1), 9(1) et 10(1) des modifications proposées (surtout en ce qui concerne la nécessité de veiller à ce que les autres intervenants de la chaîne de valeur de l’IA se sont acquittés de leurs obligations en vertu de la loi).
4. Autres considérations
a. Préjudice grave et interruption de l’exploitation du système : Afin de soutenir l’intention stratégique de la Loi, une clarté accrue du sens et des seuils en ce qui concerne le préjudice (physique, psychologique, économique) et le préjudice grave est nécessaire afin de donner aux divers intervenants la certitude opérationnelle nécessaire pour s’assurer qu’ils comprennent quelles sont les obligations dont ils sont et ne sont pas responsables en vertu de la Loi.
Sans la clarté supplémentaire concernant ce qui constitue un préjudice grave, les organisations ne disposeront pas de la certitude opérationnelle nécessaire lors de la mise en oeuvre des alinéas 8.2(1)e) et 11(1)g) des modifications proposées.
Les modifications proposées (en vertu des alinéas 8.2(1)e) et 11(1)g)) instaurent également une obligation de cesser l’exploitation d’un système s’il existe des motifs raisonnables de soupçonner que l’usage du système a causé, directement ou indirectement, un préjudice grave ou que les mesures d’atténuation ne sont pas efficaces pour atténuer les risques de préjudice grave qui pourraient découler de l’utilisation du système.
Nous recommandons en outre d’inclure des exceptions à ces deux modifications proposées (alinéas 8.2(1)e) et 11(1)g)) afin d’atténuer le préjudice public possible qui pourrait découler de la cessation prématurée de certains systèmes d’IA ou systèmes d’IA à usage général qui remplissent une fonction essentielle (p. ex., fonctions liées à la sécurité publique, aux infrastructures essentielles ou à la sécurité publique, de l’organisation ou de l’industrie).
Le fait de ne pas inclure de telles exceptions pourrait exposer involontairement des organisations, des particuliers ou le public à un préjudice évitable. Par conséquent, il est essentiel d’établir un équilibre entre l’obligation de cesser l’exploitation et la nécessité d’éviter des conséquences imprévues qui pourraient être plus généralisées ou causer des préjudices plus graves que si le système continuait à être exploité.
b. Chevauchement et incohérences entre la LIAD, la LPVPC et d’autres attentes en matière de réglementation : Il sera essentiel d’éliminer et d’éviter tout chevauchement possible entre la LPVPC et la LIAD (p. ex., exigences en matière de transparence, mesures relatives à l’utilisation des données dans le développement des systèmes d’IA et divers seuils de préjudice) afin que les deux s’appliquent de manière efficace, pour éviter les incohérences, pour réduire au minimum la complexité et pour éviter qu’il soit difficile sur le plan opérationnel de se conformer aux deux lois, surtout pour les organisations qui exercent déjà leurs activités dans des environnements fortement réglementés. Nous recommandons également qu’on envisage d’éviter les chevauchements et les conflits entre la LIAD et d’autres lois et règlements (comme les lois sur les droits de la personne et les lois propres à certains secteurs).
Cadre de responsabilisation: Nous soutenons l’intention de veiller à ce que les organisations soient responsables de leurs propres pratiques de gestion des risques dans le cadre de responsabilisation proposée par le gouvernement (art. 12 des modifications proposées par le gouvernement), mais nous mettons en garde contre l’instauration d’exigences trop contraignantes qui risquent d’ajouter à la complexité évitable, sans renforcer l’utilisation responsable de l’IA. Par exemple, la façon dont les avantages d’une description des rôles et des responsabilités et de la hiérarchie pour tout le personnel qui contribue à rendre le système d’intelligence artificielle accessible ou qui contribue à la gestion de ses opérations l’emportent sur la complexité évitable d’une telle description pour les organisations de toutes tailles n’est pas claire.
Par conséquent, nous soutenons la modification présentée au titre du paragraphe 12(6), qui précise qu’une personne doit tenir compte de la nature et de la taille de son entreprise ainsi que des risques de préjudice ou de résultats biaisés pouvant découler de l’utilisation du système d’intelligence artificielle en vertu du Cadre de responsabilisation. Dans le cadre des consultations sur la réglementation, si les modifications sont adoptées, d’autres exemptions seront nécessaires lorsque les obligations redondantes prévues par le Cadre de responsabilisation se chevauchent ou entrent en conflit avec les attentes en matière de réglementation existantes auxquelles les organisations sont censées se conformer.
c. Administration et application : Nous sommes conscients que les modifications proposées par ISDE visent à créer une clarté accrue concernant le rôle du commissaire à l’IA et aux données, mais nous demeurons préoccupés par le manque d’indépendance du commissaire par rapport au ministre, ce qui fera probablement en sorte que le même bureau sera responsable des fonctions stratégiques et d’application de la LIAD. Une telle concentration des fonctions pourrait faire en sorte que l’application soit influencée par l’intention stratégique ou d’autres facteurs plutôt que par une interprétation impartiale de la politique elle‐même.
Nous demeurons préoccupés par le fait que des aspects importants du régime d’application ont été reportés aux règlements, au lieu d’être abordés dans la loi (contrairement à la partie du projet de loi C‑27 relative à la LPVPC qui contient des détails essentiels concernant l’administration et l’application de la Loi). La LIAD ne prévoit aucun détail procédural pour entamer ou mener les procédures (qui a été reporté aux règlements). Parmi les autres lacunes qui contribuent à une plus grande incertitude et à un risque accru pour les organisations, compte tenu des sanctions importantes imposées par la LIAD, mentionnons l’absence d’un tribunal (semblable à ce qui est prévu dans la partie du projet de loi sur la protection des renseignements personnels); l’absence de dispositions concernant les éléments de preuve ou d’autres exigences procédurales; et l’absence d’un mandat informel de règlement des différends.
d. Anonymisation : Nous soutenons la modification proposée visant à supprimer l’article 6 de la LIAD, qui évite l’instauration d’obligations d’anonymisation redondantes ou contradictoires entre la LPVPC et la LIAD.
e. Mise en oeuvre : Nous exhortons le gouvernement à accorder aux organisations un délai raisonnable (au moins deux ans) pour mettre en oeuvre les dispositions de la LIAD, car elles sont susceptibles d’avoir une incidence sur la conception, le développement, l’approvisionnement et le déploiement des systèmes d’IA, surtout compte tenu des sanctions potentiellement importantes en cas de non‑conformité.
Nous sommes conscients du fait que de nombreux détails de la LIAD seront contenus dans les règlements à venir et nous faisons remarquer que ce manque de clarté dans la Loi elle-même présente des défis importants aux organisations qui cherchent à évaluer les répercussions des exigences prévues par la Loi. Cependant, nous croyons comprendre qu’ISDE a l’intention de mener de vastes consultations sur ces règlements concernant a LIAD. Nous nous engageons à participer activement à ces discussions et à répondre aux principales préoccupations qui pourraient découler des règlements pris en vertu de la LIAD, y compris les diverses obligations applicables aux systèmes à incidence élevée et les critères afférents, les modèles d’apprentissage automatique et les systèmes à usage général des systèmes d’IA, les exigences en matière de tenue de registres, les mesures relatives à l’utilisation des données, la surveillance et l’application de la LIAD, l’harmonisation et les détails relatifs à la réglementation concernant les résultats biaisés.
1 Le paragraphe 11(1) du texte original de la LIAD renvoie aux exigences qui sont maintenant énumérées à l’al. 11(1)f) des modifications proposées.
2 La présente section énumère les dispositions pertinentes relatives aux divers intervenants en vertu de la LIAD et fait référence aux exigences connexes aux termes des modifications proposées par le gouvernement.