Prendre le temps avant de légiférer sur l’IA
Le gouvernement fédéral veut être le premier à mettre en œuvre un cadre réglementaire pour l’IA. Les critiques préféreraient qu'il se concentre sur la bonne façon de faire les choses.
Comment réglementer une technologie révolutionnaire qui évolue d’une semaine à l’autre? Il suffit de créer un cadre réglementaire aussi souple que la technologie elle-même. Du moins, c’est l’approche que les gouvernements essaient de prendre pour élaborer des règles régissant l’intelligence artificielle. Toutefois, au Canada, les intervenants qui incitent Ottawa à repartir à zéro et à repenser son approche se manifestent de plus en plus.
Selon Teresa Scassa, titulaire de la Chaire de recherche du Canada en politiques et droit de l’information à l’Université d’Ottawa, le gouvernement fédéral « élabore des lois à la volée », et pas dans le bon sens. « Je n’ai jamais rien vu de tel de ma vie », a-t-elle déclaré plus tôt en novembre dans le cadre du Symposium de l’ABC sur le droit de la vie privée et de l’accès à l’information. « C’est le genre de souplesse que vous avez quand vous tombez d’une falaise, et que votre corps décrit un bel arc avant de frapper le sol. C’est souple, mais ce n’est pas mon genre de souplesse. »
Me Scassa s’exprimait lors d’une table ronde en compagnie de Barry Sookman, associé chez McCarthy Tétrault, et Ashley Casovan du Responsible Artificial Intelligence Institute. Ils ont passé la majeure partie de la séance à débattre de la question de savoir si la Loi sur l’intelligence artificielle et les données proposée (ou LIAD) devrait être complètement séparée du projet de loi C-27 plus vaste du gouvernement fédéral - connu sous le nom de Loi de 2022 sur la mise en œuvre de la Charte du numérique -, et renvoyée à l’étape de la conception.
Pour être juste à l’endroit du gouvernement, la réglementation de l’IA représente tout un défi. La technologie est différente de tout ce que nous avons vu auparavant en ce qui a trait à la vitesse d’itération et de déploiement dans tous les secteurs de l’économie. Elle soulève aussi une longue liste de préoccupations. Il y a un potentiel d’atteintes à la vie privée et de préjudices en ligne. Nous savons que les outils d’IA peuvent être prédisposés à la discrimination algorithmique. Les défis liés au droit d’auteur, aux hypertrucages et aux répercussions de l’IA sur les pratiques d’emploi soulèvent également des craintes.
D’où la pression sur les gouvernements du monde entier d’agir rapidement. Aussi, dans la course à la domination mondiale de l’IA, ils doivent trouver le juste équilibre entre encourager l’innovation et assurer la sécurité des technologies d’IA. Le problème, c’est qu’il est difficile de prédire l’avenir, alors ils essaient de donner de la flexibilité à leur cadre juridique.
Mais à quel prix? Au Canada, les critiques soutiennent qu’il manque à la LIAD, présentée comme un squelette de cadre législatif en juin 2022, une feuille de route claire pour réglementer les systèmes d’IA. Elle ne promet que vaguement de régir les systèmes d’IA à incidence élevée. Le gouvernement affirme qu’il étoffera les détails de la réglementation plus tard, à la suite de consultations publiques, mais le projet de loi n’aborde pas du tout les systèmes à incidence moyenne et faible, ce qui laisse les intervenants dans le flou par rapport à la signification de ce projet et soulève des questions sur l’efficacité et la surveillance éthique de la LIAD, selon Me Sookman.
« La LIAD est comme une boîte noire algorithmique, affirme-t-il. Personne n’est en mesure d’évaluer vraiment ce qui se trouve à l’intérieur et à l’extérieur ni de déterminer comment la réglementation s’appliquera. »
Les tentatives visant à clarifier la portée de la loi, comme le document d’accompagnement du ministre de l’Innovation, des Sciences et de l’Industrie François-Philippe Champagne, publié plus tôt cette année, qui divisait en catégories les systèmes d’IA à incidence élevée, n’ont pas dissipé la confusion.
Les comparaisons avec la loi sur l’IA de l’Union européenne (UE) mettent en évidence les lacunes perçues de la LIAD. La loi de l’UE, qui devrait entrer en vigueur au début de 2024, est beaucoup plus détaillée et classe les systèmes d’IA selon une échelle de risque mobile. Plus le risque est élevé, plus les exigences sont strictes.
Avec leur proposition, les autorités européennes espèrent tirer parti de leur puissance commerciale et de la portée extraterritoriale de leur loi pour donner le ton au reste du monde, comme l’a fait le Règlement général sur la protection des données (RGPD) pour une grande partie des lois nationales de protection de la vie privée.
Cependant, selon Me Sookman, il est exagéré de dire que la LIAD est en harmonie avec la loi de l’Union européenne. Quoi qu’il en soit, il souligne la nécessité pour le Canada de s’aligner sur son principal partenaire commercial – les États-Unis – et, dans une moindre mesure, sur le Royaume-Uni.
Ce dernier est sur le point d’adopter un modèle axé sur des principes, déléguant des responsabilités aux organismes de réglementation existants. Pendant ce temps, le décret-présidentiel de la Maison-Blanche du mois dernier contient huit principes directeurs en lien avec la sécurité de l’IA. Il revient ensuite aux organismes fédéraux de traiter les risques liés à l’IA dans leur domaine d’expertise. En revanche, la LIAD prévoit la nomination d’un commissaire qui relèverait du ministre de l’Innovation, des Sciences et de l’Industrie, une distinction qui, selon Me Sookman, rimerait avec inefficacité et chevauchement.
Prenons l’exemple de l’utilisation de l’IA dans nos tribunaux. Logiquement, cela devrait relever de la compétence du ministre de la Justice, croit Me Sookman. De même, la réglementation de l’IA en milieu de travail devrait relever de la compétence du ministre de l’Emploi. Au lieu de cela, nous aurons une « structure qui place toute l’autorité dans la réglementation d’une technologie clé absolue et qui sera omniprésente dans chaque produit et service, sous l’autorité d’un seul ministère ».
C’est un point de vue largement répandu dans la communauté juridique. David T. Fraser, avocat spécialiste en protection de la vie privée chez McInnis Cooper, affirme que le Canada doit appliquer les freins. Selon lui, il est trop tôt pour que le pays élabore un modèle sur mesure de loi sur l’IA. Il suggère plutôt de laisser les grandes économies montrer la voie.
« J’aimerais que notre loi puisse s’appliquer plus facilement à des normes internationales. Nous devons reconnaître que le Canada est un très petit marché. Il est farfelu de penser que nous pourrions secouer l’arbre. »
Même les fondements constitutionnels de la LIAD sont discutables, a fait noter Me Scassa lors de la séance. Il importe peu que le projet de loi comprenne une disposition excluant l’application de la loi aux institutions fédérales visées par la Loi sur la protection des renseignements personnels, ce qui signifierait qu’elle ne pourrait s’appliquer qu’aux institutions provinciales. « La LIAD est soutenue par la puissance commerciale internationale et interprovinciale, ce qui est limité et va créer des problèmes. »
Me Sookman convient également que le Canada doit s’assurer que le pouvoir de réglementation de l’IA est réparti entre plusieurs ressorts, tant au palier fédéral et provincial que local.
Parmi les catégories à incidence élevée cernées par le ministre Champagne figurent les soins de santé et les services d’urgence. C’est un domaine où l’IA fait des progrès considérables, a noté Me Scassa. « Cela ne sera pas visé par la loi fédérale parce qu’elle sera purement de compétence provinciale. » Aussi pénible que puisse être la perspective pour Ottawa, les provinces doivent pouvoir participer dans une bien plus grande mesure.
C’est là que réside le fond du problème : l’absence de consultation publique approfondie sur la LIAD avant la rédaction du projet de loi, qui contraste fortement avec les approches beaucoup plus inclusives adoptées par l’UE, les États-Unis et le Royaume-Uni. « Il y a beaucoup de gens qui ont des choses à dire à ce sujet, a déclaré Me Scassa. C’est donc problématique d’un point de vue démocratique. »
Dans l’ensemble, les observateurs se demandent pourquoi le Canada essaie si fort de gagner la course pour mettre en place un cadre réglementaire en matière d’IA, d’autant plus que le gouvernement a déjà annoncé qu’il faudra au moins deux ans de consultations et d’études pour élaborer le règlement une fois que la LIAD aura reçu la sanction royale.
Le mois dernier, plusieurs organismes ont publié une lettre ouverte au ministre Champagne, demandant la séparation de la LIAD du projet de loi C-27, faisant valoir qu’elle n’était pas prête pour un examen par le comité. La Section du droit de la vie privée et de l’accès à l’information de l’ABC n’a pas encore formulé sa propre recommandation à ce sujet et travaille actuellement sur un mémoire, souligne Me Fraser.
« On pourrait rationnellement adopter la position voulant que la LIAD puisse être corrigée grâce à l’adoption de règlements, qui sont plus souples que des lois », dit Me Fraser en s’exprimant en son nom, et non pour le compte de la section. « Toutefois, je crains que nous ne le regrettions […]. Il y a des problèmes structurels de la loi qui sont vraiment épineux. »
Pour sa part, Mme Casovan reconnaît que le projet de loi C-27 est loin d’être parfait et que la définition des systèmes à incidence élevée doit être clarifiée avant l’adoption du projet de loi. « Néanmoins, je ne pense pas que ce soient des choses qui devraient stopper la création ou la poursuite de ce projet de loi », dit-elle, ajoutant que le projet de loi pointe déjà vers une forme plus décentralisée de réglementation sectorielle.
Il est demeure cependant difficile d’imaginer que la foi dans le projet de loi puisse être rétablie. « Si le projet de loi était abandonné, nous pourrions utiliser ces deux années pour mener des consultations, pour faire une réflexion avancée, pour présenter un nouveau projet de loi et pour l’adopter, soutient Me Sookman. Nous ne perdons pas nécessairement du temps. Nous faisons juste un pas en arrière pour mieux avancer. »