Septembre 2023
Les systèmes d'intelligence artificielle (IA) avancés capables de générer du contenu, comme ChatGPT, DALL·E 2 et Midjourney, ont capté l'attention du monde entier. Les capacités générales de ces systèmes d'IA offrent un potentiel énorme d'innovation dans un bon nombre de domaines, et ces systèmes sont déjà adoptés et utilisés dans divers contextes. Ces systèmes avancés peuvent être utilisés pour effectuer de nombreuses tâches, comme rédiger des courriels, répondre à des questions complexes, produire des images ou des vidéos réalistes, ou rédiger du code de logiciel.
Bien qu'ils présentent de nombreux avantages, les systèmes d'IA générative avancés comportent également un profil de risque qui est manifestement considérable. Cela s'explique par la vaste portée des données au moyen desquels ils sont entraînés, le large éventail d'utilisations potentielles des systèmes et l'ampleur de leur déploiement. Les systèmes qui sont accessibles au public pour un éventail d'utilisations peuvent présenter des risques pour la santé et la sécurité, propager des préjugés et avoir des répercussions sociétales plus vastes, particulièrement lorsqu'ils sont utilisés par des auteurs malveillants. Par exemple, la capacité de produire des images et des vidéos réalistes ou de se faire passer pour de vraies personnes peut permettre des tromperies d'une envergure qui peut nuire à d'importantes institutions, notamment aux systèmes de justice démocratique et pénale. Ces systèmes peuvent également avoir une incidence importante sur les droits individuels en matière de protection de la vie privée, comme le souligne la Déclaration sur l'IA générative des autorités de protection des données et de la vie privée du G7.
Les organisations peuvent également adapter les systèmes génératifs pour des utilisations précises – comme les applications de gestion des connaissances organisationnelles ou les outils de service à la clientèle – qui présentent généralement un éventail plus restreint de risques. Malgré tout, les développeurs et les gestionnaires de tels systèmes devraient prendre un certain nombre de mesures pour veiller à ce que les risques soient bien cernés et atténués.
Afin de gérer et d'atténuer ces risques, les signataires du présent code s'engagent à adopter les mesures définies. Le code décrit les mesures qui devraient être appliquées en attendant l'adoption de règlements en application de la Loi sur l'intelligence artificielle et les données par toute entreprise qui développeNote de bas de page 1 ou gère les opérationsNote de bas de page 2 d'un système d'IA génératif ayant des capacités générales. Il décrit aussi les mesures supplémentaires qui devraient être prises par toute entreprise qui développe ou gère les opérations d'un tel système rendu accessible à un vaste public, soit des systèmes dont l'éventail d'utilisations potentiellement nuisibles ou inappropriées est plus vaste. Les entreprises qui développent et gèrent des systèmes génératifs de pointe jouent des rôles importants et complémentaires. Les développeurs et les gestionnaires doivent coopérer pour veiller à ce que les répercussions négatives soient examinées par l'entreprise appropriée.
Bien que le cadre décrit ici soit propre aux systèmes d'IA génératifs avancés, bon nombre des mesures peuvent être appliquées en grande partie à divers systèmes d'IA à incidence élevée et peuvent être facilement adaptées par les entreprises qui travaillent au sein de l'écosystème canadien d'IA. Il est également important de noter que les directives ne changent en rien les obligations juridiques que les entreprises peuvent avoir, par exemple, au titre de la Loi sur la protection des renseignements personnels et les documents électroniques.
Dans le cadre de cet engagement volontaire, les développeurs et les gestionnaires de systèmes génératifs avancés s'engagent à s'efforcer d'atteindre les résultats suivants :
- Responsabilisation – Les entreprises comprennent leur rôle à l'égard des systèmes qu'elles développent ou gèrent, mettent en place des systèmes appropriés de gestion des risques et collaborent avec d'autres entreprises au besoin pour éviter qu'il y ait des lacunes.
- Sécurité – Des évaluations des risques doivent être réalisées pour les systèmes, et les mesures d'atténuation nécessaires doivent être prises avant le déploiement pour veiller à ce que l'exploitation des systèmes soit sécuritaire.
- Justice et équité – L'incidence potentielle en matière de justice et d'équité est évaluée et gérée à différentes étapes de l'élaboration et du déploiement des systèmes.
- Transparence – Suffisamment de renseignements sont publiés pour permettre aux consommateurs de prendre des décisions éclairées et aux experts d'évaluer si les risques ont été adéquatement gérés.
- Surveillance humaine – L'utilisation du système est surveillée après le déploiement, et des mises à jour sont mises en œuvre au besoin pour gérer les risques qui se matérialisent.
- Validité et fiabilité – Les systèmes fonctionnent comme prévu, sont sécurisés contre les cyberattaques, et leur comportement en réponse aux diverses tâches ou situations auxquelles ils sont susceptibles d'être exposés est compris.
Les signataires s'engagent également à soutenir le développement continu d'un écosystème d'IA fiable et responsable au Canada. Notamment, la contribution à l'élaboration et à l'application de normes, la transmission d'information et de pratiques exemplaires à d'autres membres de l'écosystème de l'IA, la collaboration avec des chercheurs qui travaillent pour l'avancement de l'IA responsable et la collaboration avec d'autres intervenants, y compris les gouvernements, pour appuyer la sensibilisation et l'éducation du public à l'égard de l'IA. Les signataires s'engagent également à élaborer et à déployer des systèmes d'IA de manière à favoriser une croissance axée sur l'inclusion et la durabilité au Canada, notamment en accordant la priorité aux droits de la personne, à l'accessibilité et à la durabilité de environnementale, et à exploiter le potentiel de l'IA pour relever les défis mondiaux les plus urgents de notre époque.
Foire aux questions sur le Code de conduite volontaire visant les systèmes d'IA générative avancés.
Signataires du Code de conduite
| Signataires |
|---|
| Organisme d'autoréglementation du courtage immobilier du Québec (OACIQ) |
| CGI |
| IBM |
| Scale AI |
| Protexxa Inc. |
| BlueDot |
| Resemble AI |
| Ada |
| AlayaCare |
| Alberta Machine Intelligence Institute (Amii) |
| AltaML |
| Appen |
| BlackBerry |
| Cohere |
| Conseil canadien des innovateurs |
| Coveo |
| Institut Vecteur |
| kama.ai |
| Mila |
| OpenText |
| Ranovus |
| Responsible Artificial Intelligence Institute |
| TELUS |
Mesures précises à prendre conformément au code de conduite
| Principe | Mesures | Systèmes génératifs avancés | Systèmes génératifs avancés qui sont accessibles au public | ||
|---|---|---|---|---|---|
| Développeurs | Gestionnaires | Développeurs | Gestionnaires | ||
| Responsabilité | Mettre en œuvre un cadre complet de gestion des risques adapté à la nature et au profil de risque des activités. Ce cadre comprend la mise en place de politiques, de procédures et de formations pour veiller à ce que les employés connaissent bien leurs responsabilités et les pratiques de gestion des risques de l'organisation. | Oui | Oui | Oui | Oui |
| Transmettre l'information et les pratiques exemplaires visant la gestion des risques aux entreprises qui jouent des rôles complémentaires dans l'écosystème. | Oui | Oui | Oui | Oui | |
| Utiliser plusieurs lignes de défense, notamment des vérifications par des tiers avant le lancement. | Non | Non | Oui | Non | |
| Sécurité | Effectuer une évaluation complète des répercussions négatives potentielles raisonnablement prévisibles, notamment des risques associés à une utilisation inappropriée ou malveillante du système. | Oui | Oui | Oui | Oui |
| Mettre en œuvre des mesures adaptées pour atténuer les risques de préjudice, notamment en créant des mesures de protection contre l'utilisation malveillante. | Oui | Non | Oui | Non | |
| Mettre à la disposition des développeurs et des gestionnaires en aval des conseils sur l'utilisation appropriée du système, notamment des renseignements sur les mesures prises pour gérer les risques. | Oui | Non | Oui | Non | |
| Justice et équité | Évaluer et organiser les ensembles de données utilisés pour la formation afin de gérer la qualité des données et les biais potentiels. | Oui | Non | Oui | Non |
| Mettre en œuvre diverses méthodes et mesures d'essai pour évaluer et atténuer le risque d'obtenir des résultats biaisés avant le lancement. | Oui | Non | Oui | Non | |
| Transparence | Publier de l'information sur les capacités et les limites du système. | Non | Non | Oui | Non |
| Élaborer et mettre en œuvre une méthode fiable et disponible gratuitement pour détecter le contenu généré par le système, et ce, en mettant l'accent à court terme sur le contenu audiovisuel (p. ex. le tatouage numérique). | Non | Non | Oui | Non | |
| Publier une description des types de données d'entraînement utilisées pour développer le système ainsi que des mesures prises pour déterminer et gérer les risques. | Non | Non | Oui | Non | |
| Veiller à ce que, pour les systèmes qui pourraient être pris pour des humains, il soit indiqué de façon claire et visible qu'ils sont des systèmes d'IA. | Non | Oui | Non | Oui | |
| Surveillance humaine | Surveiller le fonctionnement du système pour s'assurer qu'il n'est pas utilisé à des fins nuisibles ou qu'il n'a pas des répercussions néfastes après qu'on l'ait rendu accessible, y compris par l'intermédiaire de canaux de rétroaction tiers, et informer le développeur ou mettre en œuvre des contrôles d'utilisation au besoin pour atténuer les préjudices. | Non | Oui | Non | Oui |
| Conserver une base de données sur les incidents signalés après le déploiement et fournir des mises à jour au besoin pour veiller à l'efficacité des mesures d'atténuation. | Oui | Non | Oui | Non | |
| Validité et fiabilité | Utiliser avant le déploiement une grande variété de méthodes d'essai dans un ensemble de tâches et de contextes pour mesurer le rendement et garantir la fiabilité. | Oui | Non | Oui | Non |
| Avoir recours à des essais axés sur des positions antagonistes (c.-à-d. la méthode de l'équipe rouge) pour cerner les vulnérabilités. | Non | Non | Oui | Non | |
| Effectuer une évaluation des risques liés à la cybersécurité et mettre en œuvre des mesures adaptées pour atténuer les risques, notamment en ce qui a trait à l'empoisonnement des données. | Oui | Non | Oui | Oui | |
| Effectuer des analyses comparatives pour mesurer le rendement du modèle par rapport aux normes reconnues. | Oui | Non | Oui | Non | |