Garde-fous canadiens pour l'IA générative : un code de pratique

Introduction

Au cours des derniers mois, les systèmes d'IA générative tels que ChatGPT, Dall-E 2 et Midjourney ont attiré l'attention du monde entier. Ces systèmes d'IA sont formés sur de vastes ensembles de textes, d'images ou d'autres données. Ils se distinguent par leur capacité à générer des contenus inédits dans une grande variété de formes et de contextes différents. Par conséquent, un seul système peut être utilisé pour effectuer de nombreux types de tâches différents. Par exemple, un système basé sur le langage peut effectuer des tâches telles que la traduction, le résumé de texte, la suggestion d'éditions ou de révisions de texte, la réponse à des questions ou la génération de code.

Bien qu'ils présentent de nombreux avantages, les systèmes d'IA générative sont des outils puissants qui peuvent également être utilisés à des fins malveillantes ou inappropriées. Leurs capacités génératives, combinées à l'ampleur de leur déploiement, contribuent à un profil de risque distinct et potentiellement étendu. Ces caractéristiques ont conduit à un appel urgent à l'action sur l'IA générative, y compris parmi les principaux experts de l'industrie de l'IA. Au cours des derniers mois, la communauté internationale a pris des mesures pour aider à rendre ces systèmes plus sûrs et plus dignes de confiance. Par exemple, le G7 a récemment lancé le processus d'Hiroshima sur l'IA pour coordonner les discussions sur les risques de l'IA générative, et en juillet 2023, le président américain Joe Biden a annoncé huit engagements volontaires de la part de grandes entreprises d'IA en faveur de la sûreté, de la sécurité et de la confiance dans ce domaine.

Le Canada a déjà pris des mesures importantes pour s'assurer que cette technologie évolue en toute sécurité. Le Canada est bien placé pour faire face aux risques potentiels des systèmes d'IA grâce à la Loi sur l'intelligence artificielle et les données (LIAD), qui a été présentée dans le cadre du projet de loi C-27 en juin 2022. La LIAD a été conçue pour s'adapter aux nouveaux développements des technologies de l'IA et fournit le fondement juridique permettant au gouvernement de réglementer les systèmes d'IA, y compris les systèmes d'IA générative. Le gouvernement continuera d'agir en fonction des nombreux commentaires reçus pour s'assurer que ce projet de loi est adapté à cette réalité émergente et en constante évolution.

Compte tenu du besoin urgent et du large soutien dont bénéficie le concept de garde‑fous, le gouvernement du Canada a l'intention de donner la priorité à la réglementation des systèmes d'IA générative lorsque la LIAD recevra la sanction royale. Dans l'intervalle, le gouvernement s'est engagé à élaborer un code de pratique qui serait mis en œuvre sur une base volontaire par les entreprises canadiennes avant l'entrée en vigueur de la LIAD. Ce code devrait être suffisamment solide pour que les développeurs, les diffuseurs et les opérateurs de systèmes d'IA générative soient en mesure d'éviter les effets néfastes, d'instaurer la confiance dans leurs systèmes et d'assurer une transition sans heurts vers la conformité avec le futur régime réglementaire du Canada. Le code servira également à renforcer les contributions du Canada aux discussions internationales actuelles sur les propositions visant à traiter les risques de l'IA générative, y compris au sein du G7 et parmi les partenaires qui partagent les mêmes idées.

Code de pratique – éléments

Depuis le dépôt du projet de loi C-27 en juin 2022, le gouvernement a entrepris une vaste consultation avec les parties prenantes sur la LIAD. Sur la base des contributions reçues à ce jour d'un large éventail de parties prenantes, le gouvernement sollicite des commentaires sur les éléments potentiels suivants d'un code de pratique pour les systèmes d'IA générative pour examen et validation ultérieure dans le cadre d'un autre processus consultatif à l'été 2023. Ce processus comprendra une série de tables rondes virtuelles et hybrides, ainsi que l'examen d'experts du Conseil consultatif en matière d'IA du gouvernement du Canada.

Sécurité

La sécurité doit être envisagée de manière globale tout au long du cycle de vie du système d'IA, suivant une perspective d'ensemble des impacts potentiels, notamment en ce qui concerne les utilisations abusives. Étant donné le large éventail d'utilisations de nombreux systèmes d'IA générative, les risques pour la sécurité doivent être évalués de manière plus large que ceux des systèmes destinés à des utilisations plus spécifiques.

Les développeurs et les diffuseurs de systèmes d'IA générative devraient :

  • identifier les moyens par lesquels le système peut être utilisé à des fins malveillantes (par exemple, utilisation du système pour usurper l'identité de personnes réelles, utilisation du système pour mener des attaques de type « spearfishing »), et prendre des mesures pour empêcher cette utilisation.

Les développeurs, les diffuseurs et les opérateurs de systèmes d'IA générative devraient :

  • identifier les façons dont le système peut attirer une utilisation inappropriée nuisible (par exemple, l'utilisation d'un grand modèle de langage pour des conseils médicaux ou juridiques), et prendre des mesures pour empêcher que cela ne se produise, par exemple en expliquant clairement aux utilisateurs les capacités et les limites du système.

Justice et équité

En raison des vastes ensembles de données sur lesquels ils sont formés et de l'échelle à laquelle ils sont déployés, les systèmes d'IA générative peuvent avoir d'importantes répercussions négatives sur la justice et l'équité sociétales, par exemple en perpétuant des préjugés et des stéréotypes préjudiciables. Il sera essentiel de veiller à ce que les modèles soient formés sur des données appropriées et représentatives, et qu'ils fournissent des résultats pertinents, précis et impartiaux.

Les développeurs de systèmes d'IA générative devraient :

  • évaluer et conserver les ensembles de données afin d'éviter les données de faible qualité ainsi que les ensembles de données et les biais non représentatifs.

Les développeurs, les diffuseurs et les opérateurs de systèmes d'IA générative devraient :

  • mettre en œuvre des mesures pour évaluer et atténuer le risque de résultats biaisés (par exemple, le réglage fin).

Transparence

Les systèmes d'IA générative posent un défi particulier en matière de transparence. Leurs résultats peuvent être difficiles à expliquer ou à rationaliser, et leurs données d'apprentissage et leur code source peuvent ne pas être accessibles au public. Les systèmes d'IA générative devenant de plus en plus sophistiqués, il est important de veiller à ce que les individus se rendent compte qu'ils interagissent avec un système d'IA ou avec un contenu généré par l'IA.

Les développeurs et les diffuseurs de systèmes d'IA générative devraient :

  • fournir une méthode fiable et librement accessible pour détecter le contenu généré par le système d'IA (par exemple, le filigrane);
  • fournir une explication pertinente du processus utilisé pour développer le système, y compris la provenance des données d'entraînement, ainsi que les mesures prises pour identifier et traiter les risques.

Les opérateurs de systèmes d'IA générative devraient :

  • veiller à ce que les systèmes qui pourraient être confondus avec des êtres humains soient clairement et visiblement identifiés comme des systèmes d'IA.

Supervision et surveillance par les humains

La supervision et la surveillance des systèmes d'IA par les humains sont essentielles pour garantir que ces systèmes soient développés, déployés et utilisés en toute sécurité. En raison de l'ampleur du déploiement et du large éventail d'utilisations et d'abus potentiels des systèmes d'IA générative, les développeurs, les diffuseurs et les opérateurs doivent veiller tout particulièrement à assurer une surveillance humaine suffisante et à mettre en place des mécanismes permettant d'identifier et de signaler les effets négatifs avant une diffusion à grande échelle.

Les diffuseurs et les opérateurs de systèmes d'IA générative devraient :

  • assurer une surveillance humaine du déploiement et de l'exploitation de leur système, tenant compte de l'ampleur du déploiement, de la manière dont le système est mis à disposition et de sa base d'utilisateurs.

Les développeurs, les diffuseurs et les opérateurs de systèmes d'IA générative devraient :

  • mettre en œuvre des mécanismes permettant d'identifier et de signaler les effets négatifs après la diffusion du système (par exemple, tenir une base de données des incidents) et s'engager à procéder à des mises à jour régulières des modèles sur la base des résultats obtenus (par exemple, le réglage fin).

Validité et robustesse

Pour inspirer confiance, il est essentiel de s'assurer que les systèmes d'IA fonctionnent comme prévu et qu'ils sont résistants dans l'ensemble des contextes auxquels ils sont susceptibles d'être exposés. Il s'agit d'un défi particulier pour les systèmes d'IA générative largement diffusés, car ils peuvent être utilisés dans un large éventail de contextes et donc être davantage exposés aux abus et aux attaques. Cette flexibilité est un avantage clé de la technologie, mais elle nécessite la mise en place de mesures et de tests rigoureux pour éviter les abus et les conséquences involontaires.

Les développeurs de systèmes d'IA générative devraient :

  • utiliser une grande variété de méthodes de test dans un large éventail de tâches et de contextes, y compris des tests contradictoires (p. exemple, le « red-teaming »), pour mesurer les performances et identifier les vulnérabilités.

Les développeurs, les diffuseurs et les opérateurs de systèmes d'IA générative devraient :

  • employer des mesures de cybersécurité appropriées pour prévenir ou identifier les attaques adverses sur le système (par exemple, l'empoisonnement des données).

Responsabilité

Les systèmes d'IA générative sont des outils puissants qui présentent des profils de risque vastes et complexes. Si les mécanismes de gouvernance internes sont importants pour toute organisation qui développe, diffuse ou exploite des systèmes d'IA, une attention particulière doit être portée aux systèmes d'IA générative afin de s'assurer qu'un processus de gestion des risques complet et multiforme est suivi et que les employés de toute la chaîne de valeur de l'IA comprennent leur rôle dans ce processus.

Les développeurs, les diffuseurs et les opérateurs de systèmes d'IA générative devraient :

  • veiller à ce que de multiples lignes de défense soient en place pour garantir la sécurité de leur système, par exemple en s'assurant que des audits internes et externes (indépendants) de leur système sont effectués avant et après la mise en service de celui-ci;
  • élaborer des politiques, des procédures et des formations pour s'assurer que les rôles et les responsabilités sont clairement définis et que le personnel connaît bien ses tâches et les pratiques de gestion des risques de l'organisation.

Conclusion

Nous souhaitons ardemment savoir s'il s'agit là des bons éléments fondamentaux d'un code et si les engagements sont suffisants et appropriés pour garantir un climat de confiance et une mise en œuvre appropriée dans le monde de l'IA générative. Nous souhaitons recevoir des commentaires sur les éléments, les mesures et les autres considérations à prendre en compte pour favoriser un large soutien à l'IA et une potentielle mise en œuvre avant l'entrée en vigueur d'une réglementation exécutoire.

Contactez-nous

Si vous avez des questions concernant cette consultation ou si vous avez besoin d'aide supplémentaire, veuillez nous contacter par courriel à domesticteamaihub-equipenationalecarrefouria@ised-isde.gc.ca.