PROJET DE LOI C-27 : UN PREMIER ENCADREMENT DE L’INTELLIGENCE ARTIFICIELLE AU CANADA

Projet de loi C-27 : un premier encadrement de l’intelligence artificielle au Canada

Vincent Bergeron, Vanessa Deschênes & Tara D’aigle-Curley
ROBIC, S.E.N.C.R.L
Avocats, agents de brevets et de marques de commerce

Le 16 juin 2022, le Gouvernement fédéral a déposé le projet de loi C-27[1], lequel vient édicter la Loi sur la protection de la vie privée des consommateurs[2] (« LPVPC »), la Loi sur le Tribunal de la protection des renseignements personnels et des données[3] et la Loi sur l’intelligence artificielle et les données (la « Loi sur l’IA »)[4]. Ce texte n’aborde que la Loi sur l’IA, puisque nous avons traité des deux premières lois dans une publication précédente.

Section 1 – Objectifs de la loi, applicabilité et définitions

Objectif

L’utilisation de l’intelligence artificielle (« IA ») s’est rapidement étendue au cours des dernières années à tous les secteurs d’affaires, ce qui pousse les gouvernements de partout dans le monde à vouloir encadrer son développement, son utilisation et sa commercialisation, surtout concernant les aspects de protection de la vie privée des consommateurs et de l’absence de biais à l’encontre des personnes sujettes à des décisions automatisées.

Bien que la Loi 25 au Québec[5] impose certaines balises qui peuvent s’appliquer à l’IA comme l’évaluation des facteurs relatifs à la vie privée et l’explicabilité de la prise de décision automatisée, aucune loi spécifique à l’IA n’avait auparavant été envisagée au Canada, que ce soit au niveau fédéral ou provincial. La Loi sur l’IA constitue donc une première tentative en la matière.

Par la Loi sur l’IA, le Parlement invoque la nécessité d’encadrer la conception, l’élaboration et le déploiement des systèmes d’IA, en cohérence avec les normes nationales et internationales, pour protéger les individus des préjudices potentiels[6], en s’appuyant sur sa compétence en matière d’échanges commerciaux[7]. Contrairement à la LPVPC, la Loi sur l’IA ne crée pas de nouveaux droits pour les individus, mais vise plutôt à prévenir les préjudices, en amont.  

Applicabilité

La Loi sur l’IA s’applique à toutes les « activités réglementées » des entreprises du secteur privé, soit (i) le traitement, ou le fait de rendre disponibles des données pour la conception, le développement ou l’utilisation d’un système d’IA et/ou (ii) la conception, le développement ou le fait de rendre disponible un système d’IA ou la gestion de son exploitation; le tout dans la mesure où ces activités sont exercées dans le cadre d’échanges internationaux ou provinciaux[8].

Plus simplement, la loi pourrait, par exemple, s’appliquer dans les cas suivants :

• la vente d’un système d’IA créé en Ontario à une entreprise du Québec;
• l’utilisation d’un système d’IA créé dans un pays étranger par une entreprise du Québec (contenant des données de québécois ou de canadiens);
• la conception ou le développement d’un système d’IA au Québec pour un client international ou d’une autre province.

La rédaction actuelle de la Loi sur l’IA porte à croire qu’elle pourrait potentiellement avoir une portée extraterritoriale, lorsque des systèmes d’IA internationaux sont utilisés, développés, conçus ou gérés au Canada.

Définitions

Système d’intelligence artificielle

La Loi sur l’IA définit un « système d’intelligence artificielle » comme un système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génériques, de réseaux neuroniques, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions »[9].Il s’agit d’une définition assez large, qui pourrait englober certaines activités que l’on ne qualifierait pas spontanément de système d’IA (par exemple, certains systèmes d’optimisation traitent des données pour générer du contenu, sans que l’on ne les qualifie naturellement de système d’IA). Il ne serait pas étonnant de voir cette définition évoluer en commission parlementaire.

Système à incidence élevée

La loi sur l’IA impose des obligations plus strictes aux systèmes d’IA qui se qualifient de « système à incidence élevée ». Un règlement viendra définir exactement ce qu’est un système à incidence élevée[10].

Section 2 – Principales exigences 

1. Mettre en place des politiques, pratiques et procédures :

Toute personne responsable d’un système d’IA qui exerce une activité réglementée doit élaborer des politiques et procédures lorsque, dans ce cadre, elle traite ou rend disponible des données anonymisées. La loi mentionne la probabilité qu’un règlement vienne clarifier quelles mesures doivent être mises en place pour anonymiser, utiliser ou gérer des données anonymisées[11].

Au même titre, il sera nécessaire que le responsable mette en place des mesures pour cerner, évaluer et atténuer les risques de préjudice ou de résultats biaisés que pourrait entraîner l’utilisation du système d’IA[12].

La qualification du préjudice dans la Loi sur l’IA se base sur l’énumération des motifs de distinction illicite de l’article 3 de la Loi canadienne sur les droits de la personne[13], qui s’applique normalement uniquement aux institutions fédérales et qui est plus large que l’énumération des motifs d’exclusion prévus dans les Chartes. Tous les systèmes d’IA soumis à la Loi sur l’IA doivent donc être exempts de biais ou de risque de préjudice pour une personne concernée sur les motifs suivants[14] :  

• Race, origine nationale ou ethnique, couleur, religion, âge, sexe, orientation sexuelle, identité ou expression de genre, état matrimonial, situation de famille, caractéristiques génétiques, état de personne graciée ou déficience, grossesse et accouchement.

La loi sur l’IA oblige également les organisations qui exercent une activité réglementée d’avoir en place des politiques, procédures et encadrements liés à l’évaluation et l’atténuation des risques causés par le système (voir le point B) et sur le programme de surveillance et de contrôle de l’organisation (voir point C).

2. Procéder à l’évaluation et l’atténuation des risques causés par le système :

Puisque la loi vise à prévenir des préjudices physiques, moraux ou aux biens, le responsable d’un système d’IA doit procéder à une évaluation pour déterminer si le système se qualifie de système à incidence élevée[15].

Dans ce cas, le responsable devra :

• Mettre en place des mesures de mitigation des risques pour cerner, atténuer et évaluer les risques de préjudice ou de résultats biaisés;
• Surveiller la conformité en continu et conserver des preuves de l’efficacité de la surveillance et des contrôles effectués;
• Notifier le ministre si le préjudice se matérialise ou s’il pouvait se matérialiser;
• Publier, sur son site web une description du système d’IA :
  • Son utilisation
  • Le contenu généré, la prédiction ou la recommandation faite par le système;
  • Les mesures d’atténuation mises en place par le responsable;
  • Tout autre renseignement prévu par règlement.

3. Surveiller la conformité du système en continu :

Le responsable d’un système à incidence élevée a l’obligation d’établir des mesures visant à contrôler le respect des mesures d’atténuation mises en place et de leur efficacité[16].

Dans les faits, il s’agit de mettre sur pied un programme de surveillance et de contrôle du respect de la conformité à la loi. Concrètement, cela signifie que le responsable d’un système d’IA devra périodiquement vérifier, au moyen de tests objectifs et d’évidences documentées, que les systèmes d’IA dont il est responsable n’engendrent pas de résultats biaisés ou de préjudice pour les personnes concernées et que son organisation respecte toutes les formalités reliées à la loi. Généralement, ces contrôles permettent aussi à une organisation de vérifier que les employés sont adéquatement formés, que des politiques et procédures sont écrites, mises à jour et respectées.

Tout programme de surveillance et de contrôle devrait idéalement conduire à des constats et/ou recommandations, qui devraient être communiqués aux personnes imputables du respect de la loi dans l’organisation.

4. Faire preuve de transparence :

Dans le souci de protéger les personnes concernées des risques de préjudices liés à une décision basée sur un résultat biaisé ou sur un système à incidence élevée, la Loi sur l’IA oblige les organisations assujetties à publier, sur un site web accessible au public, une description, en langage clair, de tout système d’IA à incidence élevé rendu disponible par ou sous la gestion de l’organisation[17].

De plus, le responsable du système à incidence élevée doit aviser le ministre, dès que possible et conformément aux règlements, si l’utilisation du système d’IA entraîne ou entraînera vraisemblablement, un préjudice important[18].

La notion de préjudice important n’étant pas définie dans la loi, il faudra attendre la publication d’un règlement ou l’interprétation qu’en feront le ministre responsable (ou le Commissaire à l’intelligence artificielle et aux données, voir section 3, ci-dessous) ou les tribunaux.  

Section 3 – Rôles, pouvoirs de contrôle et sanctions

1. Création du rôle de Commissaire à l’intelligence artificielle et aux données

Par défaut, la responsabilité de l’application de la loi et de l’attribution des sanctions liées à son non-respect sont dévolues à un ministre désigné par décret[19].

Toutefois, le ministre délégué reçoit le pouvoir de désigner un cadre supérieur du ministère dont il a la charge à titre de commissaire à l’intelligence artificielle et aux données, à qui il peut déléguer ses fonctions en tout ou en partie, sauf le pouvoir d’édicter des règlements[20].

Globalement, ce commissaire devrait se voir attribuer des responsabilités et des pouvoirs similaires au commissaire à la vie privée en ce qui concerne l’application de la Loi sur l’IA et de son contrôle.

Il est intéressant de constater que la personne désignée responsable de l’application de la Loi sur l’IA pourra transmettre de l’information concernant le non-respect de la loi à d’autres autorités de contrôles, selon leurs attributions[21] :

• Le Commissaire à la protection de la vie privée;
• La Commission canadienne des droits de la personne;
• Le commissaire de la concurrence;
• Le Conseil de la radiodiffusion et des télécommunications canadiennes;
• Le commissaire à la vie privée ou la commission des droits de la personne d’une province (ou son équivalent);
• Toute autre personne ou entité désignée par règlement.

2. Pouvoirs de contrôle

Le ministre responsable ou le commissaire à l’intelligence artificielle et aux données peut, par ordonnance, exiger[22] :

• la production de dossiers;
• la publication d’informations concernant un système d’IA sur un site web;
• la réalisation d’un audit, ou la retenue des services d’un auditeur indépendant pour effectuer un audit;
• la mise en oeuvre de toute mesure précisée dans un audit;
• de cesser d’utiliser ou de mettre à disposition un système à incidence élevée, s’il existe des motifs raisonnables de croire que l’utilisation de ce système entraîne un risque grave de dommage imminent.

Toute ordonnance peut être exécutoire si une copie certifiée en est déposée à la Cour Fédérale. Concrètement, cela signifie que le ministre responsable ou le commissaire a des pouvoirs assimilables à ceux d’un juge lorsqu’il rend une telle ordonnance.

3. Sanctions

L’auteur d’une violation de la loi peut encourir des sanctions administratives pécuniaires prévues par règlement ou des sanctions pénales, selon la gravité de la contravention[23].

Les infractions les plus graves pourraient encourir une peine monétaire de 25 millions de dollars ou de 5% du chiffres d’affaires annuel mondial de l’organisation, selon le montant le plus élevé ou encore jusqu’à 5 ans d’emprisonnement.

Section 4 – Portée extraterritoriale

La rédaction de la Loi sur l’IA porte à croire que l’intention du législateur est de lui donner une portée extraterritoriale, dans le cas où des systèmes d’IA internationaux seraient utilisés, développés, conçus ou gérés au Canada. Cette réalité concorde avec celle du Règlement sur l’IA du Parlement européen[24]. Les entreprises présentes sur plusieurs territoires devraient donc envisager d’établir un programme de conformité international, qui considère à la fois les exigences canadiennes et européennes en matière d’IA.

Pour toute question, n’hésitez pas à communiquer avec notre Groupe des technologies émergentes.

---

[1] Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois. Titre abrégé :
Loi de 2022 sur la mise en œuvre de la Charte du numérique.

[2] Loi visant à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels recueillis, utilisés ou communiqués dans le cadre d’activités commerciales.

[3] Loi portant constitution du Tribunal de la protection des renseignements personnels et des données.

[4] Loi concernant les systèmes d’intelligence artificielle et les données utilisées dans ces systèmes.

[5] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c 25

[6] Supra, note 1, Préambule.

[7] Loi constitutionnelle de 1867, art 91(2), « réglementation du trafic et du commerce ».

[8] Loi sur l’IA, art. 5(1)

[9] Loi sur l’IA, article 2

[10] Loi sur l’IA, art 5(1).

[11] Loi sur l’IA, art 6.

[12] Loi sur l’IA, art 8.

[13] Loi canadienne sur les droits de la personne, LRC 1985, c. H-6.

[14] Supra, note 10.

[15] Loi sur l’IA, art 7.

[16] Loi sur l’IA, art 10.

[17] Loi sur l’IA, art 11.

[18] Loi sur l’IA, art 12.

[19] Loi sur l’IA, art 31.

[20] Loi sur l’IA, art 33.

[21] Loi sur l’IA, art 26.

[22] Loi sur l’IA, art 13 à 20.

[23] Loi sur l’IA, art 29-30.

[24] Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL ÉTABLISSANT DES RÈGLES HARMONISÉES CONCERNANT L’INTELLIGENCE ARTIFICIELLE (LÉGISLATION SUR L’INTELLIGENCE ARTIFICIELLE) ET MODIFIANT CERTAINS ACTES LÉGISLATIFS DE L’UNION, COM/2021/206 final.