Comparution devant le comité permanent de l'industrie et de la technologie par le ministre de l'Innovation, des Sciences et de l'Industrie

26 septembre 2023

Projet de loi C-27/ charte du numérique-reforme de la protection de la vie privée

  • Le gouvernement du Canada prend des mesures pour permettre aux Canadiens de profiter des plus récentes technologies tout en sachant que leurs renseignements personnels sont en sécurité et que leur vie privée est respectée.
  • En juin 2022, le gouvernement a déposé le projet de loi C-27, la Loi sur la mise en œuvre de la Charte du numérique, qui vise à renforcer la législation canadienne protégeant les renseignements personnels dans le secteur privé et à créer de nouvelles règles entourant le développement et le déploiement de l'intelligence artificielle.
  • Le projet de loi améliore la protection de la vie privée des Canadiens, particulièrement celle des mineurs, encourage des innovations responsables et crée un nouveau et robuste régime d'application.

Messages Supplémentaires:

  • Le projet de loi C-27 prend des mesures importantes pour veiller à ce que les Canadiens soient protégés par une loi moderne qui suit le rythme des technologies d'aujourd'hui et à ce que les entreprises innovantes aient des règles claires à suivre au fil de l'évolution de la technologie.
  • Il représente la plus importante modification de la législation sur la protection des renseignements personnels dans le secteur privé du Canada depuis 20 ans. Les changements sont particulièrement notables sur le plan de l'application et permettent d'offrir de réelles protections aux Canadiens. Le budget de 2023 a renforcé cet engagement en accordant les ressources nécessaires au Commissaire à la protection de la vie privée pour mettre en œuvre cette approche robuste.
  • Ce projet de loi propose aussi des mesures axées sur l'intelligence artificielle (IA) qui placeraient le Canada en tête du peloton mondial de développement responsable de l'IA grâce à l'établissement de règles de base pour la conception, le développement, le déploiement et l'opération de systèmes d'IA au Canada.

Contexte

En ce qui concerne la réforme de la protection de la vie privée, le nouveau projet de loi s'inspire de l'ancien projet de loi C-11 proposé lors de la session parlementaire précédente et répond aux préoccupations des intervenants à l'égard de ce projet de loi. Il propose l'édiction de la Loi sur la protection de la vie privée des consommateurs (LPVPC), qui remplacerait la partie 1 de l'actuelle Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), et établit le Tribunal de la protection des renseignements personnels et des données, qui renforcerait le régime d'application de la protection de la vie privée du Canada.

Le projet de loi comprend également la Loi sur l'intelligence artificielle et les données (LIAD), une nouvelle loi qui placerait le Canada à la tête du peloton mondial de développement responsable de l'IA. Inspirée de l'ébauche de loi sur l'IA dans l'UE et de l'orientation établie par la Charte canadienne du numérique, la LIAD crée des règles de base pour réglementer la conception, le développement, le déploiement et l'opération responsables de systèmes d'IA et criminalise les comportements qui peuvent entraîner de graves préjudices pour les personnes.

Ensemble, ces nouvelles lois maintiendront la confiance dans le traitement des renseignements personnels et le développement et le déploiement de technologies d'IA à la fine pointe, tout en faisant progresser de manière importante la Charte canadienne du numérique.

Le budget de 2023 comprenait du financement proposé par le Commissariat à la protection de la vie privée pour mener des enquêtes plus approfondies sur les atteintes à la vie privée dans les organisations publiques et privées, améliorer les taux de réponse aux plaintes concernant la vie privée des Canadiens et opérationnaliser les nouveaux processus requis pour mettre en œuvre la Loi sur la protection de la vie privée des consommateurs.

Risques dus aux systèmes avancés d'Intelligence Artificielle (IA)

  • Que fait le gouvernement pour répondre aux préoccupations des experts concernant les progrès récents de l'intelligence artificielle?
    • À mesure que les systèmes d'intelligence artificielle deviennent de plus en plus sophistiqués, il est essentiel que les gouvernements prennent des mesures pour encadrer le développement et l'utilisation de cette technologie, et pour s'assurer que les Canadiens en bénéficient.
    • Le gouvernement prend très au sérieux les risques associés aux systèmes d'IA, y compris les risques pour les individus, tels que les impacts discriminatoires sur les groupes historiquement marginalisés, ainsi que les impacts potentiels plus larges sur la société.
    • C'est pourquoi le gouvernement a déposé la Loi sur l'intelligence artificielle et les données (LIAD), qui fait partie du projet de loi C-27.
    • Il est essentiel que nous adoptions cette loi le plus rapidement possible, pour faire face aux risques croissants que posent les systèmes d'IA et pour garantir que les Canadiens puissent faire confiance aux systèmes d'IA utilisés dans l'ensemble de l'économie.
    • Nous sommes pleinement engagés dans le processus d'Hiroshima sur l'IA, issu de la récente réunion du G7 au Japon, et nous nous engageons à travailler avec des pays aux vues similaires sur les efforts visant à alimenter la confiance et la sécurité au fur et à mesure que l'IA se développe.

Contexte :

  • Depuis la publication de ChatGPT d'OpenAI en novembre 2022, les préoccupations relatives à l'impact potentiel des systèmes avancés d'IA se sont multipliées.
    • ChatGPT est capable de produire des contenus, y compris des réponses à des questions, qui semblent plausibles et qui peuvent être difficiles à distinguer des contenus générés par des êtres humains.
    • D'autres systèmes qui génèrent des images ou des vidéos ont augmenté le risque d'alimenter la désinformation et d'autres préjudices pour la société.
  • Une lettre ouverte a été publiée le 30 mai 2023, signée par un certain nombre de dirigeants de grandes entreprises technologiques et d'éminents chercheurs canadiens mettant en garde contre les risques à l'échelle de la société dus aux systèmes d'IA, y compris l'extinction potentielle de l'humanité.
    • Cela fait suite à une autre lettre ouverte publiée par le Future of Life Institute en mars 2023, signée par certains des signataires de la présente lettre, appelant à une « pause dans les expériences d'IA géantes ».
  • La Loi sur l'intelligence artificielle et les données (LIAD) a été présentée dans le cadre du projet de loi C-27 en juin 2022. Elle adopte une approche de la règlementation de l'IA fondée sur le risque et propose d'atténuer le risque en proposant un ensemble de normes qui s'appliqueraient aux systèmes d'IA « à impact élevé ».
    • La LIAD a récemment été adoptée en deuxième lecture par la Chambre des communes et est maintenant renvoyée en commission pour un débat plus approfondi.
    • À l'origine, la LIAD était axée sur les risques liés à la santé, à la sécurité et aux effets discriminatoires des systèmes d'IA, bien qu'une stratégie de modification soit proposée en réponse aux commentaires des intervenants, ce qui permettrait d'aborder des risques plus larges.
  • L'approche de la LIAD est conforme aux cadres internationaux de règlementation de l'IA, y compris la loi européenne sur l'IA.

Projet de Loi C-27

Messages Clés :

  • Question 1 : Comment le gouvernement entend-il répondre aux préoccupations des intervenants et de l'opposition concernant le projet de loi C-27 ?

    Depuis que nous avons déposé le projet de loi C-27, il est devenu évident que nous en avons besoin de toute urgence. Les récents développements technologiques, en particulier dans le domaine de l'intelligence artificielle, ont clairement montré que nous avons besoin de nouvelles politiques pour faire face aux risques. Depuis le dépôt du projet de loi, mes fonctionnaires ont rencontré des dizaines et des dizaines de groupes d'intervenants et ont continué à se mobiliser à l'échelle nationale et internationale. De nombreux intervenants ont souligné l'importance d'agir rapidement. Elles ont également proposé un certain nombre d'idées pour améliorer le projet de loi. Nous aimerions travailler avec le Comité pour renforcer le projet de loi.

    En ce qui concerne la LPVPC, je tiens particulièrement à entendre différents avis des témoins et des membres du comité sur la façon de garantir la protection des droits à la vie privée des Canadiens, en particulier ceux des enfants, et sur la manière d'améliorer le régime d'application de la loi.

    En ce qui concerne la LIAD, je comprends qu'il s'agit d'une nouvelle loi qui nécessitera beaucoup de discussions et de débats. J'aimerais discuter de la manière dont nous pouvons apporter plus de clarté à la loi, de la meilleure manière d'utiliser la LIAD pour relever les défis posés par des systèmes tels que ChatGPT, et de la manière dont nous pouvons garantir une application efficace de la loi une fois qu'elle sera en vigueur.

    Grâce au travail du Comité, je suis certain que nous pourrons développer ensemble une voie à suivre pour renforcer le projet de loi.

  • Question 2 : Des consultations ont-elles été menées avant le dépôt du projet de loi ?

    Le projet de loi C-27 s'appuie sur des consultations pendant une longue période avec les intervenants, notamment les universitaires, la société civile et les entreprises.

    En 2018, nous avons lancé les consultations nationales sur le numérique et les données, qui ont constitué la base de la Charte du numérique. D'autres consultations ont eu lieu avant le dépôt du projet de loi C-11 durant le dernier Parlement.

    Ces efforts de consultation ont contribué à éclairer les changements importants proposés par la LPVPC et la LIAD. Les Canadiens ont demandé la modernisation du cadre actuel de protection des renseignements personnels ainsi qu'une nouvelle loi-cadre sur le marché pour régir l'utilisation de l'IA. Ils ont également clairement demandé que les entreprises qui ne respectent pas les règles soient plus sévèrement sanctionnées.

    Nous avons continué à dialoguer avec les intervenants depuis le dépôt du projet de loi et nous avons entendu qu'il fallait agir maintenant pour protéger les Canadiens qui participent à l'économie numérique mondiale et qui y sont en concurrence.

Parties 1 et 2 : La Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données

  • Question 1 : Quelles réponses apportez-vous aux recommandations du commissaire à la protection de la vie privée ?

    Je suis très heureux de constater que le commissaire à la protection de la vie privée reconnait que le projet de loi C-27 prévoit des mesures de protection de la vie privée plus rigoureuses pour les personnes et incite les organisations à se conformer à la loi tout en leur offrant une plus grande souplesse pour innover. Je tiens à remercier le commissaire pour ses recommandations réfléchies, notamment en ce qui concerne la reconnaissance du droit fondamental à la vie privée, la protection du droit à la vie privée des enfants et l'amélioration du régime de conformité et d'application de la loi.

    Je me réjouis de l'occasion qui m'est offerte de discuter davantage des propositions du commissaire en Comité et de travailler avec les membres pour renforcer le projet de loi.

  • Question 2 : Comment la LPVPC s'harmonise-t-elle avec d'autres régimes de protection de la vie privée et des données, notamment avec le RGPD ?

    Le maintien de l'harmonisation avec les pratiques exemplaires internationales en matière de protection de la vie privée et des données est très important pour préserver la position concurrentielle des organisations canadiennes. C'est pourquoi le projet de loi C-27 a été conçu pour se rapprocher des principaux régimes internationaux, tels que le RGPD, ainsi que des initiatives de modernisation dans les provinces.

    Tout d'abord, la LPVPC reconnait que la vie privée est un droit essentiel à l'autonomie et à la dignité des personnes. En outre, la LPVPC comprendrait des pouvoirs d'application conformes à ceux du RGPD, tels que le pouvoir d'ordonner le respect de la loi et d'importantes sanctions administratives pécuniaires.

    En fait, les sanctions sont plus lourdes en vertu de la LPVPC qu'en Europe, afin de garantir aux Canadiens que leurs droits en matière de protection de la vie privée seront respectés.

    Bien qu'elle soit harmonisée avec les pratiques exemplaires internationales, la LPVPC est adaptée de manière unique au contexte canadien, qui compte un grand nombre de PME. En effet, le RGPD a été critiqué pour être trop normatif et trop axé sur l'application de la loi. Cela tend à favoriser les grandes organisations qui ont des moyens plus importants pour les activités de mise en conformité. La LPVPC adopte une approche fondée sur des principes, en mettant l'accent sur la conformité proactive, comme l'examen des programmes de gestion de la protection de la vie privée par le commissaire à la protection de la vie privée.

    Cela dit, nous sommes heureux d'avoir l'occasion de discuter de la possibilité d'une harmonisation plus poussée tout en nous assurant que la loi est conçue pour défendre les valeurs canadiennes et servir au mieux les Canadiens.

  • Question 3 : Pourquoi le projet de loi ne reconnait-il pas la vie privée comme un droit fondamental ? Pourquoi les droits individuels sont-ils égaux aux intérêts des entreprises ?

    La LPVPC reconnait le droit à la vie privée. Elle reconnait que la protection des renseignements personnels est essentielle à l'autonomie et à la dignité des personnes, ainsi qu'à la pleine jouissance des droits et libertés fondamentaux au Canada.

    Les Canadiens utilisent quotidiennement des services à forte intensité de données, tels que les applications de réseautage social, de navigation et de communication. Afin d'offrir ces types de services, les entreprises doivent collecter, utiliser et divulguer des renseignements personnels. La LPVPC proposée suggère un cadre permettant aux entreprises de le faire en protégeant la vie privée et en reconnaissant ce droit important qui appartient aux personnes.

    Cela dit, nous reconnaissons qu'un certain nombre d'intervenants, ainsi que le commissaire à la protection de la vie privée, ont plaidé en faveur de la reconnaissance explicite de la vie privée en tant que droit fondamental dans le projet de loi. Nous sommes disposés à collaborer avec les membres pour renforcer le projet de loi et sommes prêts à poursuivre la discussion sur ce sujet.

  • Question 4 : Pourquoi le nouveau Tribunal de la protection des renseignements personnels et des données est-il nécessaire ? Pourquoi le commissaire à la protection de la vie privée ne peut-il pas imposer directement des SAP aux organisations ?

    Le projet de loi C-27 accorde beaucoup plus de pouvoirs au Comité, notamment celui d'ordonner le respect de la loi, de prendre des ordonnances provisoires et de recommander des SAP. Ces pouvoirs sont essentiels pour permettre au Comité de règlementer le marché numérique de manière efficace.

    Toutefois, il est également important de créer un mécanisme permettant aux personnes concernées par ces décisions de demander un recours et de procéder à un examen. La séparation des fonctions d'enquête et de jugement garantit l'équité, la transparence et la crédibilité du système. C'est pourquoi de tels tribunaux sont monnaie courante dans les secteurs commerciaux règlementés tels que les transports, les télécommunications, etc.

    Le Tribunal de la protection des renseignements personnels et des données offrirait une voie de recours aux personnes et aux organisations concernées par les décisions du commissaire à la protection de la vie privée. Composé de membres expérimentés dans le domaine du droit à l'information et à la protection de la vie privée, il fonctionnera plus rapidement et plus simplement que les tribunaux, et vise à améliorer l'accès des Canadiens ordinaires et des petites entreprises qui ne disposent pas de ressources juridiques importantes.

  • Question 5 : Pourquoi la LPVPC ne s'applique-t-elle pas aux partis politiques ?

    L'objectif du projet de loi C-27 est d'assurer la confiance dans l'économie numérique axée sur les données, c'est-à-dire dans le contexte commercial. Il s'agit d'un élément d'une initiative plus large du gouvernement visant à moderniser le cadre juridique du Canada de façon importante pour faire face aux nouveaux risques ou aux lacunes découlant de l'environnement numérique. Néanmoins, les renseignements personnels utilisés à des fins politiques devraient également faire l'objet d'une surveillance rigoureuse. C'est pourquoi, dans le budget 2023, nous avons annoncé que la Loi électorale du Canada sera modifiée afin d'établir une approche fédérale uniforme en ce qui concerne la collecte, l'utilisation et la communication de renseignements personnels par les partis politiques fédéraux, d'une manière qui l'emporte sur les lois provinciales qui se chevauchent.

  • Question 6 : Comment le projet de loi C-27 peut-il permettre de mieux protéger les enfants en ligne ?

    Ce projet de loi contient actuellement des protections plus rigoureuses en ce qui concerne la collecte, l'utilisation et la divulgation des renseignements personnels concernant les enfants. Notamment, le projet de loi considère que tous les renseignements personnels appartenant à un mineur sont « de nature sensible ». Cela signifie que :

    • les organisations devront généralement utiliser un consentement exprès pour collecter, utiliser ou communiquer les renseignements.
    • les organisations devront examiner attentivement si les raisons de leur collecte, de leur utilisation ou de leur divulgation des renseignements – et la façon dont elles le font – sont appropriées.
    • des mesures de sécurité plus rigoureuses doivent être utilisées pour protéger les renseignements.
    • les périodes de conservation de ces renseignements devraient généralement être plus courtes que celles pour les renseignements sur des adultes.

    En outre, reconnaissant que les enfants sont particulièrement vulnérables, les enfants ou leurs tuteurs pourront exercer des mesures de protection encore plus strictes sur leurs renseignements personnels que les adultes pourraient autrement le faire.

    Par exemple, le projet de loi facilite la gestion des renseignements personnels des mineurs, en conférant un droit de suppression qui a préséance sur la politique de conservation permanente d'une organisation. Cela aiderait à réduire le risque que les erreurs des enfants dans l'environnement en ligne les suivent tout au long de leur vie.

    Nous sommes disposés à discuter de l'importance que le projet de loi accorde à la protection des renseignements personnels des enfants.

  • Question 7 : Pourquoi y a-t-il de nouvelles exceptions au consentement ?

    Le régime proposé sert à protéger rigoureusement la vie privée et dépasse de manière significative le niveau précédent de protection de la vie privée. Il adopte une approche de la vie privée fondée sur les droits et maintient la place centrale du consentement dans le régime canadien de protection de la vie privée.

    Ces protections sont équivalentes ou supérieures aux protections les plus strictes au monde en matière de protection de la vie privée et des données. En fait, il s'agit d'un atout considérable par rapport à des régimes comme le RGPD, où le consentement est l'un des nombreux motifs valables pour la collecte, l'utilisation et la divulgation des renseignements personnels.

    Dans cette optique, afin de garantir que les entreprises canadiennes innovantes puissent continuer à fournir les services que les Canadiens attendent, il était nécessaire d'inclure certaines exceptions soigneusement conçues au consentement pour permettre certains scénarios limités et spécifiques, tels que l'indexation des moteurs de recherche et la cartographie au niveau de la rue, qui sont bénéfiques pour les consommateurs. Le projet de loi C-27 établit un équilibre entre l'obtention d'avantages plus larges pour les consommateurs et la société, tout en garantissant une protection rigoureuse de la vie privée des personnes grâce à des garanties solides, le tout soutenu par un régime d'application extrêmement rigoureux.
    (Si une question est posée sur une exception spécifique)

    Les nouvelles exceptions au consentement concernant les activités commerciales devraient réduire le fardeau de conformité pour les entreprises. Il leur sera ainsi plus facile d'adopter en toute confiance des pratiques commerciales courantes, telles que la mise en œuvre de processus rigoureux en matière de cybersécurité et de mise en réseau pour protéger leurs clients. L'exception est étroitement circonscrite et ne peut être utilisée pour divulguer des renseignements personnels.

    L'exception au consentement pour les activités dans lesquelles l'organisation a un « intérêt légitime » est censée s'appliquer à des activités telles que la cartographie des rues, pour lesquelles il n'est pas possible d'obtenir un consentement, alors que les avantages pour le consommateur sont multiples. L'exception répond au rapport de l'ETHI de 2018 sur son étude de la LPRPDE et est harmonisée avec la disposition relative aux intérêts légitimes du RGPD de l'UE. L'exception contient des garanties solides, notamment que l'intérêt légitime de l'organisation l'emporte sur toute incidence négative potentielle sur la personne et doit être anticipé par cette dernière. En outre, une organisation doit prendre des mesures pour atténuer ou éliminer toute incidence négative, par exemple en supprimant tout renseignement personnel inutile (par exemple, en rendant les visages flous dans Street View). Cette exception ne peut être utilisée à des fins de marketing.

    La nouvelle exception au consentement pour les « activités d'utilité sociale » a été élaborée en réponse aux préoccupations des intervenants et pour affirmer la capacité des organisations à divulguer des renseignements personnels dépersonnalisés dans le cadre de leur participation à des initiatives dirigées par le secteur public qui soutiennent le bien public. Il peut s'agir, par exemple, d'une application de remise en forme et de santé qui communique des données globales sur les habitudes alimentaires et de consommation des utilisateurs à un établissement de santé qui étudie les tendances en matière d'alimentation et de nutrition des Canadiens. Il peut également s'agir de fournisseurs de services de télécommunications qui fournissent des données de localisation agrégées à une autorité gouvernementale cherchant à cartographier les volumes et les schémas de circulation dans un réseau de parcs afin de soutenir les efforts de conservation.

  • Question 8 : Pourquoi les entreprises pourront-elles encore utiliser le consentement implicite ?

    Le consentement implicite est un consentement qui peut être déduit du comportement d'une personne. Sans la possibilité d'utiliser le consentement implicite, de nombreuses activités que les consommateurs s'attendent aujourd'hui à voir se dérouler de manière transparente deviendraient encombrantes. Par exemple, les personnes qui téléchargent une application pour leur appareil mobile dans le but de suivre le nombre de pas effectués dans une journée ne s'attendent pas raisonnablement à ce que, chaque fois qu'elles marchent ou se déplacent, l'application leur demande leur consentement explicite pour suivre leurs mouvements.

    La LPVPC restreint l'utilisation du consentement implicite en prévoyant que le consentement explicite est la forme de consentement par défaut, à moins que l'organisation ne détermine qu'un consentement implicite serait approprié compte tenu de la sensibilité des renseignements et des attentes générales de la personne.

    En outre, le consentement implicite est soumis à de solides garanties. Les organisations restent tenues de veiller à ce que la personne soit informée de la finalité de la collecte, de l'utilisation ou de la divulgation des renseignements personnels (par exemple, par le biais d'une politique de protection de la vie privée). De plus, les personnes auraient la possibilité de retirer leur consentement en ce qui concerne la collecte, l'utilisation ou la divulgation de tout renseignement personnel fondé sur un consentement implicite.

Partie 3 : la Loi sur l'intelligence artificielle et les données (LIAD)

  • Question 1 : Pourquoi la Loi sur l'intelligence artificielle et les données (LIAD) est-elle nécessaire ?

    Je pense qu'il est juste de dire que les récentes avancées dans le domaine de l'IA ont démontré le potentiel de l'IA pour améliorer nos vies. Qu'il s'agisse du lancement de ChatGPT ou des innovations dans le domaine de la recherche médicale, nous n'en sommes encore qu'aux balbutiements. Cependant, certaines des utilisations de cette nouvelle technologie peuvent avoir un impact réel sur nos vies – que nous obtenions le prêt que nous avons demandé, que nous soyons évalués de manière équitable pour une candidature à un emploi, etc. Il s'agit d'une technologie que la plupart des personnes ne comprennent pas, et elles veulent pouvoir être sûres qu'il existe des règles en place pour garantir leur protection.

    C'est ce que fera la Loi sur l'intelligence artificielle et les données (LIAD). Elle mettra en place des garde-fous qui protègeront les Canadiens contre les préjudices et la discrimination. Elle fournira un ensemble de règles claires pour les développeurs et les opérateurs de systèmes d'IA afin de s'assurer qu'ils sont responsables de la façon dont ils traitent les risques et qu'ils sont transparents avec les consommateurs.

    Une approche harmonisée au niveau international pour le développement et le déploiement responsables de l'IA est d'autant plus importante que ces technologies transcendent les frontières provinciales et nationales. Sur la scène internationale, le Canada a de quoi être fier : nous avons certains des meilleurs innovateurs et chercheurs en IA au monde, et nous sommes à l'avant-garde de l'IA responsable depuis des années. La LIAD est l'une des toutes premières lois sur l'IA proposées dans le monde, et son adoption donnera aux entreprises canadiennes un avantage concurrentiel, tout en favorisant la confiance dans les systèmes qui ont le plus d'impact potentiel sur les Canadiens.

  • Question 2 : Comment la LIAD protègerait-elle les Canadiens ?

    Malgré leurs avantages, les systèmes d'IA peuvent avoir des effets néfastes sur les personnes s'ils ne sont pas correctement évalués en termes de risque de préjudice et de préjugés. Par exemple, un système d'évaluation de crédit ou un algorithme d'embauche pourrait involontairement être discriminatoire. Les systèmes génératifs tels que Chat GPT peuvent promouvoir des stéréotypes racistes ou sexistes ou contribuer à la diffusion de la désinformation et à l'affaiblissement de nos institutions.

    La LIAD mettra en place des règles claires pour s'assurer que les entreprises font preuve de diligence raisonnable avant de déployer des systèmes d'IA qui ont un impact important sur nos vies. Elles devront également faire preuve de transparence quant à l'utilisation des systèmes d'IA et à la manière dont elles traitent les risques. Grâce à ces règles, les Canadiens pourront être surs que les entreprises développent et exploitent la technologie en toute sécurité.

    La LIAD serait mise en œuvre par le ministre de l'Industrie, assisté d'un nouveau commissaire, qui veillerait à ce que les entreprises respectent les règles. Ils auraient également les pouvoirs nécessaires pour garantir la sécurité des Canadiens, y compris celui d'ordonner qu'un système cesse de fonctionner si nécessaire.

    Les dispositions de la LIAD visent à assurer la sécurité des systèmes d'IA dans de nombreux cas et secteurs d'utilisation et dans les collectivités auxquelles appartiennent les Canadiens.

  • Question 3 : Pourquoi la LIAD ne s'applique-t-elle pas à l'utilisation de l'IA par le gouvernement ?

    Différents cadres juridiques et politiques s'appliquent aux activités gouvernementales. Par exemple, la Directive sur la prise de décisions automatisée du Conseil du Trésor s'applique aux institutions fédérales qui utilisent l'IA à des fins de prise de décision. Cette directive est fréquemment mise à jour en consultation avec les parties prenantes. Le SCT a également publié récemment le Guide sur l'utilisation de l'intelligence artificielle générative pour les institutions fédérales, qui fournit des conseils aux institutions fédérales qui utilisent l'IA générative.

    La LIAD est conçue pour traiter les risques liés au développement et à l'exploitation commerciale des systèmes d'IA. Toutefois, elle s'appliquera aux systèmes développés dans le secteur privé et utilisés par le gouvernement, s'il est établi qu'ils ont un impact important. Par exemple, les systèmes utilisés pour sélectionner les employés sont souvent achetés au secteur privé. La LIAD garantirait donc que le développement de ces systèmes répond à des normes strictes, et la Directive garantirait que des mesures appropriées sont prises en interne avant le déploiement de l'outil.

  • Question 4 : Comment la LIAD sera-t-elle appliquée ? Comment pouvons-nous faire confiance aux sociétés privées pour mettre en œuvre les exigences elles-mêmes ?

    La LIAD sera supervisée par le ministre de l'Industrie avec le soutien d'un nouveau commissaire à l'IA et aux données (CIAD). Les entreprises auront l'obligation de démontrer qu'elles se conforment à la loi. Le projet de loi propose une série de pouvoirs de surveillance pour permettre de procéder à des audits et d'ordonner que les systèmes d'IA soient surs. Par exemple, un audit pourrait être ordonné pour vérifier la conformité d'une entreprise, des mesures d'atténuation pourraient être prescrites si nécessaire pour garantir la sécurité d'un système, ou une entreprise pourrait se voir ordonner de cesser d'exploiter un système si la santé ou la sécurité publique sont menacées. La loi prévoit des sanctions sévères, notamment des amendes en cas de non-conformité.

    Ces pouvoirs de surveillance constituent une partie importante d'un régime de gouvernance active, mais le gouvernement est ouvert à l'amélioration de ces sections en fonction des commentaires des membres du comité.

    La LIAD prévoit également des infractions pénales passibles d'une peine d'emprisonnement pour les contrevenants, dans les cas où les systèmes d'IA sont intentionnellement mis à disposition pour causer un préjudice grave, y compris une fraude ou des lésions corporelles graves. Ces mécanismes d'application, pris dans leur ensemble, permettront de protéger efficacement les Canadiens contre les préjudices.

  • Question 5 : Quels commentaires avez-vous entendus des intervenants depuis le dépôt de la Loi ?

    Le gouvernement s'est engagé pleinement sur la LIAD depuis son dépôt. L'ISDE a également publié un document d'accompagnement pour clarifier l'intention de la loi, qui a été généralement bien accueilli.

    La société civile, les experts en IA du Conseil consultatif canadien sur l'IA et les chefs d'entreprise s'accordent à dire que la règlementation de l'IA doit être une priorité urgente.

    Nous avons reçu de nombreuses questions sur la forme que prendrait la règlementation, et certains ont demandé plus de clarté dans le projet de loi, notamment en ce qui concerne les systèmes qui seront considérés comme ayant un impact élevé et qui sera responsable de quoi. Dans le même temps, les intervenants craignent à juste titre que la loi, si elle n'est pas conçue correctement, ne devienne rapidement obsolète au fur et à mesure que la technologie de l'IA progresse.

    Les intervenants nous ont également fait part de leurs préoccupations concernant les systèmes d'IA générative, et ils veulent s'assurer que la LIAD s'appliquera à ce type de systèmes.

    Certaines personnes nous ont également fait part de leurs inquiétudes quant à l'impact des systèmes d'IA sur les droits de l'homme et aux répercussions générales de l'IA sur l'ensemble de notre société. Les intervenants voudraient savoir que la LIAD protègera les Canadiens des impacts les plus graves et que le gouvernement prend des mesures pour remédier à ces impacts. Le gouvernement est disposé à collaborer avec le comité sur toutes ces questions afin de renforcer le projet de loi.

    Après la sanction royale, le gouvernement mènera de vastes consultations afin d'élaborer la règlementation dans le cadre de la LIAD. Au cours de ce processus, les intervenants du monde universitaire, de la société civile et de l'industrie seront mobilisés afin de garantir un cadre règlementaire solide qui s'appuie sur les commentaires des intervenants.

  • Question 6 : Quelles sont les mesures prises par d'autres pays pour lutter contre l'IA ? Cette approche est-elle conforme à celle de nos partenaires internationaux ?

    L'harmonisation internationale est l'une des principales considérations qui ont été prises en compte lors de la rédaction de la LIAD. Cela permettra aux entreprises canadiennes de toutes tailles de se positionner au mieux sur le marché international.

    La LIAD sera harmonisée avec les lois et les pratiques exemplaires proposées par des partenaires internationaux comparables. À l'instar de l'approche horizontale de l'UE en matière de règlementation de l'IA, la LIAD établira une approche intersectorielle fondée sur les risques. Cette approche se concentrera sur les systèmes ayant les incidences potentielles les plus importantes sur les personnes. L'approche souple et évolutive du Canada vise à permettre l'harmonisation avec les normes internationales, tout en tenant compte des besoins des petites et moyennes entreprises.

    Parallèlement à la LIAD, le Conseil canadien des normes fera progresser les codes, les normes et les certifications en matière d'IA. Cela permettra au Canada de faire entendre sa voix dans l'élaboration des normes internationales, de soutenir la croissance d'une industrie responsable au Canada et d'offrir aux entreprises canadiennes la possibilité de devenir des leadeurs et de saisir les opportunités du marché dans ce domaine.

  • Question 7 : Les particuliers ou les entreprises peuvent-ils être condamnés à une peine d'emprisonnement si les systèmes d'IA causent involontairement des dommages ?

    La LIAD propose également l'introduction de nouvelles infractions criminelles, passibles de lourdes amendes et de peines d'emprisonnement. Ces infractions requièrent que la personne ait intentionnellement, sciemment ou par imprudence causé un préjudice grave ou une perte économique substantielle à un système d'IA. Pour obtenir une condamnation, le ministère public devra prouver ces infractions au-delà de tout doute raisonnable, ce qui constitue le seuil le plus élevé dans le système juridique canadien.

    Je tiens à souligner que les personnes ordinaires qui créent des systèmes d'IA de bonne foi ne sont pas susceptibles d'être touchées par ces sanctions. Il est important que nous ayons des infractions de ce type, afin que des mesures puissent être prises si des personnes créent des systèmes d'IA pour nuire gravement à d'autres personnes. Nous ne souhaitons pas utiliser les sanctions criminelles pour poursuivre les personnes ordinaires qui créent des systèmes d'IA ayant des conséquences involontaires.

  • Question 8 : Pourquoi le commissaire à l'IA et aux données n'est-il pas un organisme de règlementation indépendant ?

    L'IA est une technologie qui évolue rapidement et la LIAD est un cadre juridique très novateur. La structure créée dans le cadre de la LIAD doit permettre au gouvernement de développer son expertise, de s'adapter rapidement à l'évolution de l'environnement et d'agir rapidement si nécessaire afin d'assurer la sécurité des Canadiens.

    Cette structure est similaire au rôle que joue Santé Canada dans la règlementation des dispositifs médicaux, ou à celui que joue Transports Canada en ce qui concerne les véhicules automobiles. Toutefois, le gouvernement a écouté les intervenants au sujet des différents modèles d'application et est disposé à collaborer avec le comité sur cette question.

  • Question 9 : La LIAD prend-elle en compte les préjudices collectifs ?

    La LIAD est conçue pour remédier aux préjudices collectifs. La Loi exige des entreprises qu'elles atténuent de manière proactive les risques de préjudice et de préjugés. Dans la Loi, les résultats biaisés sont définis en référence à la Loi canadienne sur les droits de la personne, afin de garantir que les mêmes groupes sont protégés contre la discrimination dans le contexte de l'IA.

    Nous voulons éviter que des personnes soient traitées de manière inéquitable par des systèmes d'IA. Il existe de nombreux cas très médiatisés de ce type, par exemple lorsque des systèmes d'IA utilisés dans des contextes d'embauche se sont révélés discriminatoires à l'égard des femmes. Nous avons également constaté que les systèmes d'IA générative peuvent produire un contenu stéréotypé, par exemple en ne générant que des images d'hommes d'affaires ou de femmes infirmières. La LIAD veillera à ce que ce type d'impact soit identifié et atténué avant que les systèmes ne soient mis sur le marché.

  • Question 10 : Comment le Code de pratique pour l'IA générative interagira-t-il avec la LIAD ?

    Le Code est un mécanisme volontaire qui vise à fournir des orientations aux entreprises avant l'entrée en vigueur de la LIAD. Le code est spécifiquement adapté aux systèmes d'IA générative et aux types de risques qu'ils entraînent, comme la possibilité d'une utilisation malveillante ou d'une désinformation. Il s'agit d'une étape importante dans l'élaboration de normes relatives à l'IA générative à court terme, compte tenu de la rapidité avec laquelle la technologie évolue.

    Tout au long de la consultation sur le Code de pratique, nous avons eu de nombreuses conversations fructueuses avec des experts de la société civile, de l'industrie et du monde universitaire sur les risques et la manière de les aborder. Nous avons acquis de nombreuses connaissances, qui serviront également à l'élaboration des règlementations futures dans le cadre de la LIAD.

    Après la sanction royale, le gouvernement donnera la priorité à l'élaboration d'une règlementation relative à l'IA générative. Une vaste consultation publique sera organisée pour s'assurer que la loi répond aux attentes des Canadiens.

Résumé du projet de loi

Loi de 2022 sur la mise en œuvre de la Charte du numérique

Le gouvernement du Canada a déposé le projet de Loi de 2022 pour la mise en œuvre de la Charte du numérique (LMCN de 2022) afin de renforcer les mesures de protection de la vie privée des Canadiens alors qu'ils exercent des activités commerciales et afin d'établir des normes pour l'utilisation responsable de l'intelligence artificielle (IA). La Loi fait progresser les lois antérieures dans ce domaine et répond concrètement aux vastes activités de sensibilisation des intervenants et aux nouveaux développements dans ce domaine.

La LMCN de 2022 créera la Loi sur la protection de la vie privée des consommateurs (LPVPC), qui remplacera la loi canadienne actuelle sur la protection de la vie privée dans le secteur privé, et créera également la nouvelle Loi sur le Tribunal de la protection des renseignements personnels et des données, qui créera le Tribunal des renseignements personnels et des données, une entité qui peut imposer des sanctions administratives pécuniaires en cas de violation de la vie privée. La LMCN de 2022 abrogera la partie 2 de l'actuelle Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la transformera en loi distincte, intitulée Loi sur les documents électroniques. Enfin, la LMCN de 2020 créera la Loi sur l'intelligence artificielle et les données (LIAD), un nouveau cadre législatif qui obligera les organisations à atténuer le risque de biais et d'autres préjudices lors de l'élaboration et du déploiement de systèmes d'IA à impact élevé.

Grâce à chacune de ces mesures, le gouvernement bâtit un Canada où les citoyens ont confiance que leurs données sont protégées et que la vie privée est respectée, tout en permettant l'innovation qui favorise une économie forte.

  • La LPVPC améliorera le contrôle des personnes sur leurs renseignements personnels, notamment en leur permettant de demander leur suppression, en créant de nouveaux droits à la mobilité des données qui favorisent le choix des consommateurs et l'innovation, et créer de nouvelles exigences de transparence sur l'utilisation des renseignements personnels dans des domaines comme les systèmes de décision automatisés.
  • La LPVPC renforcera l'application et la surveillance de la protection des renseignements personnels d'une manière semblable à celle de certaines provinces et de certains partenaires commerciaux étrangers du Canada. Pour ce faire, elle accorde au commissaire à la protection de la vie privée du Canada le pouvoir de rendre des ordonnances, ce qui peut obliger les organisations à mettre fin à certaines activités ou utilisations inappropriées des renseignements personnels, et ordonner les organisations à préserver les renseignements pertinents à une enquête du CPVP. La nouvelle loi permettra également d'imposer des sanctions administratives pécuniaires pour les infractions graves à la loi, sous réserve d'une pénalité maximale de 10 millions de dollars ou 3 % des revenus mondiaux, selon le montant le plus élevé, et des amendes pouvant atteindre 5 % des revenus ou 25 millions de dollars, selon le montant le plus élevé, pour les infractions les plus graves.
  • La LPVPC encouragera également l'innovation responsable en réduisant le fardeau réglementaire, notamment en simplifiant et en clarifiant les motifs de demande de consentement. Les nouvelles exceptions au consentement comprendront les pratiques commerciales normalisées, clarifieront la façon dont les organisations doivent traiter les renseignements dépersonnalisés et permettront aux organisations de divulguer des renseignements personnels à certaines fins socialement avantageuses, comme la recherche en santé publique.
  • La Loi sur le Tribunal des renseignements personnels et des données établira un nouveau tribunal, qui sera chargé de déterminer s'il y a lieu d'imposer des sanctions administratives pécuniaires recommandées par le commissaire à la protection de la vie privée à la suite de ses enquêtes, déterminer le montant des pénalités et entendre les appels des ordonnances et des décisions du commissaire à la protection de la vie privée. Le Tribunal assurera l'accès à la justice et contribuera au développement de l'expertise en matière de protection de la vie privée en effectuant des examens rapides des ordonnances du commissaire à la protection de la vie privée.
  • La LMCN de 2022 comprend des mises à jour de la LPVPC et de la Loi sur le Tribunal des renseignements personnels et des données qui répondent aux commentaires reçus des intervenants en réponse à la proposition précédente. Ces mises à jour renforceront la protection des renseignements personnels des mineurs, donneront plus de latitude au commissaire à la protection de la vie privée et exigeront explicitement qu'un plus grand nombre de membres du Tribunal possèdent une expertise en matière de protection de la vie privée.
  • La Loi sur les documents électroniques prendra les dispositions relatives aux documents électroniques de la LPRPDE et les édictera dans une loi distincte. Ce changement simplifiera la loi fédérale sur la protection des renseignements personnels et permettra de mieux harmoniser le régime fédéral des documents électroniques pour appuyer les initiatives de prestation de services du Secrétariat du Conseil du Trésor.
  • La LIAD imposera l'obligation d'agir de façon responsable en exigeant des organisations qui conçoivent, élaborent, déploient ou exploitent des technologies d'intelligence artificielle pour mettre en place des mesures visant à atténuer de façon proactive les risques de préjudice et les biais injustifiés dans le développement de ces technologies.
  • Cette nouvelle loi sera supervisée par le ministre de l'Innovation, des Sciences et de l'Industrie, qui aura le pouvoir de rendre des ordonnances pour s'assurer que les organisations sont en mesure de rendre compte de ces mesures. Elle mettra également en œuvre des interdictions et des sanctions pénales claires concernant l'utilisation de données obtenues illégalement pour le développement de l'IA ou lorsque l'IA est déployée de façon imprudente, ou déployée en connaissance qu'elle peut entraîner un préjudice grave.
  • La LIAD créera un poste de commissaire à l'intelligence artificielle et aux données pour appuyer le ministre de l'Innovation, des Sciences et de l'Industrie dans l'administration de la Loi, pour diriger les approches fédérales à l'égard des enjeux liés aux données et pour encourager l'innovation dans le marché numérique.

La Loi sur l'intelligence artificielle et les données (LIAD)

Introduction

En juin 2022, le gouvernement du Canada a présenté la Loi sur l'intelligence artificielle et les données (LIAD) dans le cadre du projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique. La LIAD constitue un jalon important dans la mise en œuvre de la Charte numérique et pour garantir que les Canadiens peuvent se fier aux technologies numériques qu'ils utilisent au quotidien.

Le cadre proposé dans la LIAD est la première étape vers un nouveau système réglementaire conçu pour orienter l'innovation en matière d'IA dans une direction positive et permettre aux Canadiens d'en récolter tous les bénéfices. Le gouvernement s'appuiera sur ce cadre par l'entremise d'un processus d'élaboration de règlements ouvert et transparent. Des consultations seront conçues pour recueillir les commentaires des Canadiens, des intervenants intéressés et des experts internationaux, afin de veiller à ce que les règlements produisent des résultats conformes aux valeurs canadiennes.

L'interconnectivité mondiale de l'économie numérique nécessite que la réglementation des systèmes d'IA sur le marché soit coordonnée à l'échelle internationale. Le Canada travaillera en collaboration avec des partenaires internationaux tels que l'Union européenne, le Royaume-Uni et les États-Unis afin d'harmoniser les approches visant à garantir que les Canadiens sont protégés à l'échelle mondiale et que les entreprises canadiennes peuvent être reconnues au niveau international comme satisfaisant à des normes rigoureuses.

Ce document fournit une feuille de route de la LIAD, expliquant son but et la façon dont elle serait mise en œuvre à travers de futurs règlements. L'objectif de cette feuille de route est de permettre aux intervenants et aux Canadiens de mieux comprendre le projet de loi proposé et d'en appuyer l'examen parlementaire.

Le Canada et le paysage mondial de l'Intelligence artificielle

Le Canada est un leader mondial dans le domaine de l'Intelligence artificielle. Il abrite plus de 850 entreprises en démarrage, 20 laboratoires publics de recherche en IA, 75 incubateurs et accélérateurs d'IA et 60 groupes d'investisseurs en IA de tout le pays; de plus, les Canadiens ont joué un rôle principal dans le développement de la technologie de l'IA depuis les années 1970.  Le Canada a été le premier pays au monde à élaborer une Stratégie nationale en matière d'IA, qu'il a publiée en 2017; il est également l'un des membres fondateurs du Partenariat mondial sur l'IA (PMIA). Le gouvernement fédéral a alloué un total de 568 millions de dollars canadiens pour faire progresser la recherche et l'innovation dans le domaine de l'IA, développer un vivier de talents qualifiés et élaborer et adopter des normes industrielles pour les systèmes d'IA dans le cadre de la stratégie nationale en matière d'IA.  Cet investissement a joué un rôle déterminant dans l'élaboration de la Stratégie pancanadienne en matière d'IA, qui vise à faire du Canada un acteur mondial de premier plan dans le domaine de la recherche et du commerce de l'IA. 

Les recettes du marché mondial de l'intelligence artificielle (IA) devraient atteindre 589,5 milliards de dollars canadiens en 2022, soit une augmentation de 19,6 % par rapport à l'année précédente, et devraient dépasser 680 milliards de dollars en 2023.   Des études de marché prévoient que le marché mondial de l'IA atteindra 1,2 billion de dollars canadiens d'ici 2026, et suggèrent que le marché pourrait atteindre plus de 2 billions de dollars canadiens d'ici 2030.

L'intelligence artificielle permet aux ordinateurs d'apprendre à accomplir des tâches complexes, telles que la génération de contenu ou la prise de décisions et la formulation de recommandations, en reconnaissant et en reproduisant des modèles identifiés dans des données. Au cours des dix dernières années, les capacités des systèmes IA ont connu une progression spectaculaire, si bien qu'ils sont en mesure d'effectuer des tâches qui sollicitaient auparavant l'intelligence humaine, comme l'identification et la modification d'images, la traduction, et la génération de contenu original. Ces systèmes sont de plus en plus utilisés pour faire des prédictions ou prendre des décisions importantes concernant les personnes, par exemple en matière de crédit, d'embauche et de services en ligne.

Les systèmes d'IA sont développés et utilisés au Canada aujourd'hui pour une variété d'applications qui ajoutent de la valeur à l'économie canadienne et améliorent la vie des Canadiens. Une technologie qui semblait impensable il y a encore peu de temps fait maintenant partie de notre quotidien. L'IA offre une multitude d'avantages aux Canadiens, notamment:

  • Des progrès dans le domaine des soins de santé, comme le dépistage du cancer ou l'amélioration des services de soins à domicile.
  • L'amélioration de la récolte de précision en agriculture ou l'amélioration de l'efficacité de la chaîne d'approvisionnement énergétique.
  • Le lancement de nouveaux produits intelligents et de services personnalisés.
  • L'augmentation des capacités des technologies de traitement des langues, notamment la traduction et la synthèse vocale.
  • L'amélioration de la capacité des citoyens à trouver de l'information et à la traiter; et
  • L'amélioration de la rentabilité des autres technologies grâce à l'automatisation.

Pourquoi avons-nous besoin d'un nouveau cadre réglementaire pour l'IA?

Dans l'économie numérique, l'utilisation de l'IA devient rapidement généralisée. Au fur et à mesure de l'évolution de ses capacités et de l'ampleur de son déploiement, des normes doivent être élaborées afin que les entreprises et les consommateurs aient des attentes claires sur la manière dont les répercussions de la technologie doivent être gérées. En l'absence de normes claires, il est difficile pour les consommateurs de se fier à la technologie et pour les entreprises de démontrer qu'elles l'utilisent de manière responsable.

Des incidents très médiatisés aux résultats préjudiciables ou discriminatoires ont contribué à une érosion de la confiance, par exemple:

  • Un système d'IA de présélection des CV utilisé par une grande entreprise multinationale pour présélectionner les candidats aux entrevues s'est avéré discriminatoire à l'égard des femmes.
  • Une analyse des systèmes de reconnaissance faciale bien connus a révélé des preuves de préjugés contre les femmes et les personnes de couleur.
  • Les systèmes d'IA ont été utilisés pour créer des images et des vidéos « hypertruquées » très difficiles à identifier comme étant fausses.

L'importance et la prévalence croissantes de la technologie de l'IA dans les industries d'aujourd'hui, ainsi que l'inquiétude croissante du public quant à ses répercussions, ont conduit à une mobilisation internationale rapide autour de la nécessité de guider et de gouverner l'IA. Depuis 2021, un projet de loi sur l'IA a été introduit dans l'Union européenne, le Royaume-Uni a publié une proposition de réglementation de l'IA et les États-Unis ont publié leur plan directeur pour une charte des droits de l'IA. Au Canada, les autorités de réglementation existante ont pris des mesures pour remédier à certaines de ces répercussions dans le cadre de leurs pouvoirs législatifs. Toutefois, des lacunes importantes subsistent, notamment en ce qui concerne le développement de systèmes d'IA. Bien que certaines entreprises fassent des efforts considérables en matière de gouvernance de l'éthique de l'IA, la gravité des risques pour les Canadiens et la nécessité de l'égalité des conditions de concurrence pour les entreprises canadiennes spécialisées dans l'IA exigent l'élaboration de normes communes.

Les types de systèmes auxquels le gouvernement du Canada accorde la plus haute priorité sont ceux qui utilisent des renseignements personnels ou d'autres données sur les activités humaines d'une manière susceptible d'avoir une incidence sur la santé, la sécurité et les droits de la personne. Voici quelques exemples :

Comment fonctionnera la Loi sur l'intelligence artificielle et les données?

La LIAD vise à refléter l'évolution des normes internationales dans le domaine de l'IA, notamment les principes de l'Organisation de coopération et de développement économiques (OCDE) et du G20 en matière d'IA.  La LIAD positionnera le Canada comme un pionnier de la transition vers une IA responsable et contribuera à positionner les entreprises et les valeurs canadiennes en situation avantageuse dans le futur paysage de l'industrie mondiale de l'IA.

La LIAD propose l'approche suivante :

  1. La partie 1 imposerait des obligations réglementaires aux entreprises exerçant des activités clés dans le cycle de vie de l'IA lors des échanges internationaux et interprovinciaux, en mettant particulièrement l'accent sur les systèmes à incidence élevée. Les règlements étofferaient la loi et seraient élaborés en consultation avec un vaste groupe d'intervenants afin de veiller à trouver le juste équilibre entre la protection des Canadiens et de leurs intérêts et la promotion de l'industrie canadienne de l'IA au pays et à l'étranger.
  2. Le ministre de l'Innovation, des Sciences et de l'Industrie serait habilité à exécuter la Loi et à la faire appliquer, pour faire en sorte que les politiques et les règlements évoluent au diapason au fur et à mesure que la technologie évolue. Un nouveau poste de Commissaire à l'IA et aux données serait créé pour fournir l'expertise nécessaire pour soutenir le ministre à la fois dans l'élaboration et l'exécution réglementaire et dans l'application de la Loi. Ce qui permettrait une transition progressive des fonctions du commissaire, de l'éducation et de l'assistance vers un régime d'application à part entière.
  3. De nouvelles infractions pénales seraient créées pour dissuader les actes imprudents ou malveillants susceptibles de causer un préjudice grave aux Canadiens ou à leurs intérêts.

La partie 1 de la LIAD vise à assurer la responsabilité en matière de risques associés aux systèmes d'IA utilisés lors des échanges et du commerce internationaux et interprovinciaux. Les obligations de la loi s'appliquent principalement aux systèmes qui sont le plus susceptibles d'avoir des répercussions négatives sur les personnes, notamment le risque d'affecter négativement la santé et la sécurité d'une personne ou la protection de ses droits de la personne, par exemple dans la recherche d'opportunités de vie, la détermination du statut juridique ou le maintien de son autonomie. Des mesures proactives doivent être prises tout au long du cycle de vie des systèmes d'IA par les entreprises qui conçoivent ou développent, mettent à disposition pour utilisation ou gèrent leurs opérations afin de garantir que les risques qui y sont associés sont identifiés et affrontés. Les 5 piliers ci-dessous orienteront l'élaboration ultérieure de la réglementation des systèmes d'IA dans le cadre de la LIAD et guideront le Canada vers un avenir d'IA responsable.

Les piliers de la Loi sur l'intelligence artificielle et les données :

Supervision humaine et surveillance

La supervision humaine implique que les systèmes d'IA à incidence élevée doivent être conçus et développés de façon à permettre aux personnes qui gèrent les opérations du système d'exercer une supervision importante. Cela implique un niveau d'interprétabilité approprié au contexte.

La surveillance, par la mesure et l'évaluation des systèmes d'IA à incidence élevée et de leurs résultats, est essentielle pour soutenir une supervision humaine efficace.

Sécurité

La sécurité implique que les systèmes d'IA doivent faire l'objet d'une évaluation proactive pour détecter les risques de préjudices dans toutes les activités. Il s'agit notamment des répercussions négatives sur la santé, telles que les préjudices physiques et psychologiques.

Justice et équité

La justice et l'équité impliquent de construire des systèmes d'IA à incidence élevée en étant conscient de la possibilité de produire des résultats biaisés et en prenant des mesures appropriées pour réduire les résultats discriminatoires pour les individus et les groupes.

Responsabilité

La responsabilité consiste à garantir que des mécanismes de gouvernance appropriés sont en place, ainsi que la documentation proactive des politiques et des processus qui démontrent le respect de toutes les obligations légales d'un système d'IA à incidence élevée dans son contexte de développement et d'utilisation. 

Transparence

La transparence implique de fournir au public des renseignements suffisants sur la manière dont les systèmes d'IA à incidence élevée sont utilisés. Cela signifie, en partie, qu'il faut divulguer lorsqu'une personne interagit avec un système d'IA, décrire en langage clair l'objectif du système, les fonctions qu'il exécute et les mesures qu'il prend pour faire face aux possibles risques de préjudice.

Validité et robustesse

La validité signifie qu'un système d'IA fonctionne conformément aux objectifs prévus.

La robustesse signifie qu'un système d'IA est stable et résilient dans diverses circonstances.

Le cadre de la LIAD se veut un mécanisme flexible dans lequel les obligations sont adaptées à différents types de systèmes, en mettant particulièrement l'accent sur les systèmes à incidence élevée. Il cerne les activités impliquées dans le cycle de vie d'un système d'IA et impose des obligations aux entreprises qui exercent ces activités afin de garantir la responsabilité à chaque point susceptible de présenter un risque.

Les entreprises qui exercent des activités réglementées liées à un système d'IA seraient tenues de :

  • Établir des mesures en ce qui concerne les données anonymisées, comme le prévoient les règlements; et
  • Procéder à une évaluation par rapport aux critères à définir dans les règlements afin de déterminer s'il s'agit d'un système à incidence élevée.

Systèmes d'IA à incidence élevée

Les critères relatifs aux systèmes à incidence élevée seront définis dans les règlements, mais le gouvernement considère que les points suivants font partie des principaux éléments à prendre en compte pour déterminer si une certaine catégorie de systèmes d'IA doit être incluse dans la catégorie des systèmes à incidence élevée :

  • Des preuves de l'existence de risques d'atteinte à la santé et à la sécurité, ou d'un risque de répercussion négative sur les droits de la personne, en fonction à la fois de l'objectif visé et des conséquences potentielles non intentionnelles.
  • La gravité des potentiels préjudices.
  • L'ampleur de l'utilisation;
  • La nature des préjudices ou des répercussions négatives qui se sont déjà produits;
  • La mesure dans laquelle, pour des raisons pratiques ou juridiques, il n'est raisonnablement pas possible de se retirer de ce système;
  • Les déséquilibres en matière de situation économique ou sociale, ou d'âge des personnes touchées; et
  • La mesure dans laquelle les risques sont correctement réglementés en vertu d'une autre loi.

La LIAD traite deux types de risques associés aux systèmes d'IA à incidence élevée. Tout d'abord, elle traite le risque de préjudice aux personnes. Ensuite, il s'agit du premier cadre juridique au Canada qui traite le risque de préjugé systémique dans le contexte de l'IA du secteur privé.

Le préjudice est défini comme une atteinte physique, une atteinte psychologique, un dommage matériel ou une perte économique subie par un individu. Il vise à englober un large éventail de répercussions négatives mesurables susceptibles de se produire dans tous les secteurs de l'économie. Les préjudices peuvent être subis par des individus de manière indépendante ou par des groupes d'individus de manière plus systématique. Par exemple, les groupes plus vulnérables, tels que les enfants, peuvent être davantage exposés au risque de préjudice d'un système d'IA à incidence élevée et nécessiter des efforts particuliers d'atténuation des risques.

En vertu de la LIAD, il y a résultat biaisé lorsqu'il y a une incidence différentielle défavorable et injustifiée fondée sur l'un des motifs de distinction illicite dans le cadre de la Loi canadienne sur les droits de la personne   Il s'agit notamment de la différenciation qui se produit directement ou indirectement, par exemple au moyen de variables qui servent de substituts aux motifs interdits. Une différenciation défavorable pourrait être justifiée si elle est inévitable dans le contexte de facteurs réels influant sur une décision ou une recommandation. Par exemple, le revenu d'une personne est généralement en corrélation avec les motifs interdits, tels que la race et le genre, mais il est également pertinent pour les décisions ou les recommandations liées au crédit. En conséquence, une certaine corrélation entre le résultat de la décision de crédit, la race et le sexe est inévitable. Cependant, si, par exemple, le système amplifie la corrélation sous-jacente ou produit des résultats injustes pour des individus particuliers sur la base des motifs interdits, cela ne serait pas considéré comme justifié.

Activités réglementées

L'article (8) de la LIAD exige de toute entreprise exerçant une activité réglementée en ce qui concerne un système à incidence élevée qu'elle établisse des mesures appropriées visant à cerner, à évaluer et à atténuer les risques de préjudices ou de résultats biaisés que pourrait entraîner ce système. L'objectif est de s'assurer que des mesures appropriées sont mises en place pour chaque activité susceptible de présenter un risque.

Le gouvernement attend des entreprises qu'elles mettent en place des mécanismes de responsabilité appropriés pour assurer le respect des obligations qui leur incombent en vertu de la Loi. L'entreprise sera tenue responsable de l'élaboration et de l'application de processus et de politiques de gouvernance interne appropriés, conçus pour assurer le respect des exigences de la LIAD.

Les mesures seraient mises en place au travers de règlement et adaptées au contexte et aux risques associés aux activités réglementées spécifiques. Les activités réglementées au cours du cycle de vie typique d'un système d'IA à incidence élevée comprennent, sans s'y limiter :

  • Conception du système – elle peut impliquer la définition des objectifs du système d'IA et des besoins en données, des méthodologies, des algorithmes ou des modèles basés sur ces objectifs.
  • Développement du système – elle peut impliquer le traitement d'ensembles de données, la formation de systèmes utilisant les ensembles de données, la modification des paramètres du système, le développement et la modification de méthodologies, d'algorithmes ou de modèles utilisés dans le système, ou l'essai du système.
  • Mise à disposition d'un système – une fois qu'un système a été développé et est pleinement fonctionnel, il peut être mis à disposition pour utilisation, que ce soit par la personne qui l'a développé, dans le cadre d'une transaction commerciale, par l'entremise d'une interface de programmation d'applications (API) ou en mettant le système fonctionnel à la disposition du public. Il ne s'agit pas de publier des méthodologies, des algorithmes ou des modèles sous une forme qui ne permet pas de les utiliser sans développement supplémentaire.
  • Gestion des opérations d'un système – une fois qu'un système est opérationnel, la personne qui gère ses opérations a la capacité de commencer ou d'arrêter son fonctionnement, de surveiller et de contrôler l'accès à ses résultats pendant qu'il est opérationnel, de modifier les paramètres relatifs à son fonctionnement dans le contexte, mais peut ne pas modifier les paramètres fondamentaux qui affectent ses capacités.

Comment savoir quelle est la responsabilité de mon entreprise ?

À l'heure actuelle, il n'y a aucune norme commune concernant les mesures que doivent prendre des entreprises pour veiller à ce que les systèmes d'IA à incidence élevée soient sûrs et non discriminatoires.

En vertu de la LIAD :

  • Les entreprises qui conçoivent ou développent un système d'IA à incidence élevée devront prendre des mesures pour cerner et contrer les risques de préjudice et de préjugés, documenter l'utilisation appropriée et les limites, et ajuster les mesures si nécessaire.
  • Les entreprises qui mettent à disposition un système d'IA à incidence élevée devront envisager les possibles utilisations lors de son déploiement et prendre des mesures pour garantir que les utilisateurs sont conscients de toute restriction sur la façon dont le système est censé être utilisé et comprennent ses limites.
  • Les entreprises qui gèrent les opérations d'un système d'IA devront utiliser les systèmes d'IA comme indiqué, évaluer et atténuer les risques, et assurer une surveillance continue du système

Les activités réglementées décrites dans la LIAD seront associées à des obligations distinctes et proportionnelles au risque. En fonction du contexte précis et de la configuration unique de la chaîne de valeur, plusieurs entreprises peuvent être impliquées dans l'exercice d'activités réglementées pour un seul système d'IA. Le tableau ci-dessous illustre les types de mesures qui pourraient être associées aux différentes étapes du cycle de vie d'un système à incidence élevée.

Activité réglementée dans le cadre d'un système à incidence élevée Exemples de mesures d'évaluation et d'atténuation du risque
Conception du système
  • Réaliser une évaluation initiale des risques potentiels associés à l'utilisation d'un système d'IA dans le contexte et décider si l'utilisation de l'IA est appropriée
  • Évaluer et contrer les possibles préjugés découlant de la sélection des ensembles de données.
  • Évaluer le degré d'interprétabilité requise et prendre des décisions de conception en conséquence
Développement du système
  • Documenter les ensembles de données et les modèles utilisés
  • Effectuer l'évaluation et la validation, y compris le recyclage si nécessaire
  • Mettre en place des mécanismes de supervision humaine et de surveillance.
  • Documenter l'utilisation appropriée et les limites
Mettre un système à disposition
  • Fournir une documentation appropriée concernant les ensembles de données utilisés, les limites et les utilisations appropriées
  • Procéder à une évaluation des risques concernant la façon dont le système a été mis à disposition
Gestion des opérations d'un système
  • Consigner et surveiller les résultats du système, en fonction du contexte
  • Assurer une surveillance et une supervision humaine adéquates
  • Intervenir au besoin, si l'opération se déroule à l'extérieur 

La LIAD interdira-t-elle l'accès ou réglementera-t-elle les logiciels libres ou les systèmes d'IA à libre accès ?

La LIAD n'interdira pas l'accès et ne réglementera pas la distribution des logiciels libres.

Une personne qui donne accès à un système d'IA à incidence élevée par l'entremise de méthodes libres serait tenue de respecter des obligations associées à la mise à disposition du système en vue de son utilisation. Il pourrait s'agir, par exemple, de veiller à ce que les utilisateurs du système aient connaissance de ses limites et de l'usage auquel il est destiné.

Les mesures précises exigées par la réglementation seraient élaborées à l'issue d'une vaste consultation et s'appuieraient sur les normes internationales et les pratiques exemplaires.

L'article (9) de la LIAD exige des entreprises mettant en place de telles mesures qu'elles veillent au respect de ces mesures ainsi qu'à leur efficacité. Les règlements qui suivront la sanction royale de la LIAD garantiront que les responsabilités en matière de surveillance seront proportionnelles au niveau d'influence qu'un acteur a sur le risque associé au système. Par exemple, les entreprises qui ne participent qu'à la conception ou au développement d'un système d'IA à incidence élevée, mais qui n'ont pas la capacité pratique de surveiller le système après son développement, auront des obligations différentes de celles qui gèrent ses opérations. Les employés ne sont pas personnellement responsables des obligations liées à l'entreprise dans son ensemble. Outre les obligations liées à l'évaluation et à l'atténuation des risques, les entreprises exerçant des activités réglementées associées à un système à incidence élevée seraient également tenues d'informer le ministre lorsqu'un système entraîne ou est susceptible d'entraîner un dommage sensible.

Supervision et application

La LIAD créerait un modèle d'application adapté au défi unique que représente la supervision d'un nouveau cadre réglementaire pour l'IA. Le ministre de l'Innovation, des Sciences et de l'Industrie serait responsable de l'exécution et de l'application de la Loi. De plus, la LIAD créerait un nouveau poste statutaire pour un commissaire à l'IA et aux données (CIAD), qui serait chargé d'aider le ministre à s'acquitter de ces responsabilités.

Le ministre disposerait également des pouvoirs généraux pour éduquer le public, autoriser des mesures et établir des lignes directrices pour leur conformité. D'autres pouvoirs pourraient également être délégués à la LIAD.

Le modèle d'application de la LIAD est destiné à permettre une mise en application au fur et à mesure que l'écosystème s'adapte au nouveau cadre. Au cours des premières années suivant son entrée en vigueur, la LIAD mettra l'accent sur l'éducation, et l'aide aux entreprises pour qu'elles se conforment par des moyens volontaires. Les petites et moyennes entreprises peuvent avoir besoin d'appui particulier, en ce qui concerne l'adoption des pratiques nécessaires pour satisfaire aux exigences.

La LIAD comprend également des dispositions visant à mobiliser l'expertise externe du secteur privé, des universités et de la société civile afin de garantir que les activités d'application de la loi suivent l'évolution rapide de l'environnement. Cela se fera par l'entremise de :

  • La désignation d'experts externes en tant qu'analystes pour appuyer l'exécution et l'application de la Loi;
  • L'utilisation d'audits d'IA réalisés par des auditeurs indépendants qualifiés;
  • La nomination d'un conseil consultatif chargé de fournir des conseils au ministre.

Le ministre disposerait des pouvoirs nécessaires pour assurer la sécurité des Canadiens, notamment le pouvoir de :

  • ordonner la production de documents pour démontrer la conformité;
  • ordonner la tenue d'un audit indépendant;
  • ordonner la cessation de l'utilisation d'un système; et
  • publier en langage clair, à l'exception des informations confidentielles, les conclusions relatives aux exigences des systèmes à incidence élevée;
  • divulguer publiquement toute infraction à la Loi ou des informations concernant des systèmes d'IA qui présentent un risque grave de préjudice imminent dans le but de prévenir des préjudices.

Le modèle d'application de la loi a été choisi en tenant compte d'un certain nombre de facteurs, étant donné le contexte réglementaire unique de l'IA et les objectifs du régime réglementaire.  La gouvernance et la réglementation de l'IA sont des domaines émergents qui évolueront rapidement dans les années à venir. Par conséquent, les décisions relatives à l'exécution et à l'application de la loi auront des implications importantes pour la politique, et les deux fonctions devront travailler en étroite collaboration dans les premières années du cadre sous la direction du ministre. La codification du rôle du CIAD dans le contexte de la LIAD sépare les fonctions des autres activités à ISDE et permet au CIAD de créer un centre d'expertise pour la réglementation de l'IA.

La Loi permet la création d'un régime de SAP au moyen de règlement. Lequel pourrait être introduit une fois que l'écosystème et le cadre réglementaire seront suffisamment matures. Ce régime serait conçu de manière à garantir que les sanctions soient calibrées de manière proportionnée à l'objectif d'encourager le respect, notamment en ce qui concerne la taille relative de l'entreprise.

Les cas de non-respect les plus graves pourraient faire l'objet de poursuite, à la discrétion du Service des poursuites pénales du Canada, dans le cadre d'infractions à responsabilité stricte énoncées dans la partie 1 (voir le tableau ci-dessous). Ces infractions s'appliquent au non-respect de toute exigence principale de la Loi (articles 6 à 12), ainsi qu'à l'obstruction ou à la fourniture d'informations fausses ou trompeuses. Elles sont destinées à ne viser que les personnes responsables du non-respect et qui n'ont pas fait preuve de la diligence raisonnable nécessaire pour mettre en place les mesures requises.

Entreprise
Infraction sommaire Jusqu'à 5 millions de dollars canadiens ou 2 % du revenu mondial brut
Infraction criminelle Jusqu'à 10 millions de dollars canadiens ou 3 % du revenu mondial brut Individu
Individu
Infraction sommaire Jusqu'a 50 000 de dollars canadiens
Infraction criminelle Amende dont le montant est fixé par le tribunal

Partie 2 : Infractions générales

La partie 2 de la LIAD crée des infractions pénales réelles distinctes des obligations et des infractions énoncées dans la partie 1. Ces infractions représentent des actes conscients, imprudents ou intentionnels qui causent des préjudices graves. Les trois infractions générales sont les suivantes :

  1. Posséder ou utiliser sciemment des informations personnelles obtenues de manière illicite pour concevoir, développer, utiliser ou mettre à disposition un système d'IA, par exemple, en entraînant un système d'IA à partir d'informations à caractère personnel obtenues à la suite d'une atteinte à la sécurité ou d'un moissonnage du Web.
  2. Sans excuse légitime, le fait de savoir ou de ne pas se soucier de savoir si un système d'IA est susceptible de causer un préjudice grave ou des dommages sensibles à des biens, et son utilisation cause un tel préjudice ou un tel dommage.
  3. Mettre un système d'IA à disposition dans l'intention de frauder le public et de causer une perte économique substantielle à une personne, et son utilisation cause cette perte.

En quoi les infractions de la partie 2 sont-elles différentes des infractions de la partie 1 ?

La partie 1 de la Loi prévoit des sanctions pénales pour les cas graves de non-respect des exigences réglementaires.

Les infractions de la partie 2 de la Loi constituent de véritables interdictions pénales, lorsqu'un individu cause un préjudice grave en toute conscience ou avec l'intention de nuire. Celles-ci ne sont pas liées aux exigences réglementaires de la partie 1 et n'ont pas à avoir de lien avec les échanges et le commerce.

Par exemple, si un individu met à disposition un système d'IA qui entraîne un préjudice grave, il pourrait faire l'objet d'une enquête en vertu de l'article 39 s'il était conscient que cela était susceptible de causer un tel préjudice et n'avait pas pris de mesures raisonnables pour l'empêcher.

Ces crimes pourraient faire l'objet d'une enquête par les policières de poursuites, à la discrétion du Service des poursuites pénales du Canada.

Entreprise
Infraction sommaire Jusqu'à 20 millions de dollars canadiens ou 4 % du revenu mondial brut
Infraction criminelle Jusqu'à 25 millions de dollars canadiens ou 5 % du revenu mondial brut
Individu
Infraction sommaire Jusqu'à 100 000 dollars canadiens ou 2 ans d'emprisonnement
Infraction criminelle Plus de 100 000 dollars canadiens ou 5 ans d'emprisonnement

La voie à suivre

La LIAD est l'un des premiers cadres réglementaires nationaux proposés pour l'IA. Elle s'harmonise avec le projet de loi de l'UE sur l'IA en adoptant une approche axée sur le risque, et en mettant l'accent sur la conformité par l'entremise de normes de l'industrie qui restent à établir. Les règlements qui seront élaborés à la suite de l'adoption de la LIAD offriront des options de conformité souples visant à éviter d'imposer une charge excessive aux petites et moyennes entreprises et à garantir que les efforts du gouvernement pour contribuer à l'innovation en matière d'IA ne soient pas entravés.

Après la sanction royale du projet de loi C-27, le gouvernement a l'intention de mener une vaste consultation inclusive auprès de l'industrie, des universités, de la société civile et des communautés canadiennes afin d'éclairer la mise en œuvre de la LIAD et de ses règlements. Cette consultation portera notamment sur les points suivants :

  • Les types de systèmes qui doivent être considérés comme étant à incidence élevée;
  • Les types de normes et de certifications à prendre en compte pour s'assurer que les systèmes d'IA satisfont aux attentes des Canadiens;
  • Le travail de Commissaire à l'IA et aux données; et
  • La mise en place d'un comité consultatif.

À l'issue de ce processus, le gouvernement prépubliera les projets de règlements dans la partie 1 de la Gazette du Canada et mènera une nouvelle consultation pendant 60 jours. La première série de règlements sera ensuite publiée dans la partie 2 de la Gazette du Canada. ISDE continuera d'évaluer l'efficacité des règlements tout en exécutant et en appliquant la Loi.

Annexe – Risques de la chaîne de valeur de l'IA

La chaîne de valeur de l'IA est un processus organisationnel ou multiorganisationnel par lequel un système d'IA individuel est développé et déployé. Les principes étapes de la chaîne de valeur sont notamment la planification, la modélisation des données et le déploiement. Étant donné que les systèmes d'IA varient en complexité et en contexte, des risques peuvent apparaître à différentes étapes de la chaîne en fonction du contexte et de la composition de la chaîne de valeur de l'IA d'un système d'IA donné.

En exigeant des évaluations des risques associés au déploiement de systèmes d'IA à incidence élevée, la LIAD garantit que les entreprises proposent une méthode définie et structurée pour décrire les risques liés à leurs systèmes et pour déterminer les moyens les plus efficaces de les atténuer. Ces évaluations représentent un outil approprié pour la gouvernance de l'IA et la responsabilité quant à création et le déploiement de systèmes d'IA fiables qui non seulement accomplissent bien la tâche à laquelle ils sont destinés, mais ont également la confiance des personnes qu'ils affectent en fin de compte.

Figure 1 - Version textuelle

La chaine de valeur de l'IA

Les étapes et les activités conduisant à la création et au déploiement d'un système d'IA

1. Planification

  • Cadrage du projet
    • Définition du projet
    • Motivation du projet
    • Mission du projet
  • Détermination des besoins du projet

Risques

  • Biais de sélection
  • Taux de participation variés
  • Biais d'information

2. Données

  • Collecte de données
  • Ingestion et stockage
  • Prétraitement

Risques

  • Biais d'information
  • Risque d'ingénierie inverse
  • Risque de violation
  • Propagation de biais

3. Modélisation

  • Entraînement
  • Validation
  • Évaluation
  • Recyclage

Risques

  • Boucle de rétroaction
  • Non-interopérabilité
  • Faible explicabilité
  • Ajustement excessif ou insuffisant
  • Modèle instable
  • Propagation de biais

4. Déploiement

  • Mise en œuvre
  • Entretien

Risques

  • Risque d'utilisation inappropriée
  • Risque de comportement inhabituel
  • Système très hétérogène
 

Les risques peuvent survenir à n'importe quelle étape du cycle de vie de l'IA s'ils ne sont pas contrés de manière proactive et être amplifiés à des étapes ultérieures. S'il n'est pas détecté et contré en temps opportun, il peut avoir des conséquences importantes. Ainsi, la probabilité du risque et ses répercussions potentielles doivent être évaluées à chaque étape afin de mettre en œuvre les mesures d'atténuation nécessaires. Les facteurs d'évaluation des risques comprennent notamment la nature des répercussions auxquelles l'utilisation d'un système d'IA peut exposer ainsi que l'ampleur de possibles incidences, comme leur gravité et le nombre de personnes touchées.

En outre, les exigences en matière de données doivent être déterminées, y compris la portée, la représentativité et les limites des données.

Le type et la qualité des données utilisées à l'étape de modélisation affectent considérablement le résultat global, tant en termes de qualité que d'incidence, et doivent donc faire l'objet d'une surveillance étroite. Si le recueil de données viole les droits de protection des données ou utilise des pratiques inappropriées, alors il y a un risque de préjugés et d'autres préjudices.

D'autres risques peuvent survenir à l'étape d'entrée et de stockage des données, notamment le risque d'ingénierie inverse et d'identification, l'atteinte à l'intégrité des données, le vol de données, le risque d'atteinte à la réputation, les risques d'escroquerie et de vol d'identité, ce qui a une incidence sur la vie privée, les droits de la personne, la sécurité et le bien-être. 

En outre, les facteurs communs à prendre en compte sont l'intégration, le nettoyage, la transformation et la réduction des données afin d'éviter des risques d'introduction de préjugés dus à des données déséquilibrées, l'existence de variables de substitution (variables qui peuvent définir des caractéristiques sensibles et protégées telles que la race et l'ethnicité), les valeurs manquantes, le mauvais traitement des valeurs aberrantes ou la multicolinéarité, le risque d'instabilité du système en raison d'une réduction incorrecte des données.

L'évaluation des risques aux étapes ultérieurs du cycle de vie doit prendre en compte le niveau d'interopérabilité et d'explicabilité du modèle, le type de système, la complexité algorithmique et la disparité des données (en particulier s'il s'agit d'un héritage de l'étape des données ou si les données sont utilisées par une tierce partie). Les problèmes découlant des données d'entraînement renforceront et perpétueront les préjugés institutionnels hérités, créant ainsi une boucle de rétroaction entre les contextes (par exemple, l'amplification des préjugés provenant de données historiques par l'IA peut ensuite conduire à de nouveaux ensembles de données biaisées). De plus, une validation et une évaluation inadéquates peuvent créer des risques ayant des répercussions négatives sur un grand nombre de personnes. Les compétences techniques de l'utilisateur, l'inadéquation entre l'utilisation prévue et l'utilisation réelle, ainsi que le nombre d'acteurs impliqués dans le cycle de vie d'un système particulier sont autant de facteurs de risque :

  • avec la diminution des compétences techniques de l'utilisateur, le risque peut augmenter;
  • une utilisation du modèle différente de celle initialement prévue augmente le niveau de risque;
  • plus il y a d'acteurs impliqués, plus le système est hétérogène et plus important est probabilité d'une déconnexion ou d'une perte d'informations entre ces différents acteurs.

La gestion de ces risques nécessite des rôles et des exigences réglementaires dans l'ensemble de la chaîne de valeur, ainsi qu'une collaboration et une communication des informations clés.