Le bon cadre juridique?

En Europe, on ne badine pas avec les règles. Il y a trois ans, l’UE a adopté le Règlement général sur la protection des données (RGPD), le règlement le plus strict au monde sur la protection de la vie privée en ligne.

Le mois dernier, elle a mis en œuvre un projet réglementaire sur les systèmes d’intelligence artificielle (IA). Comme le RGPD, ce projet est ambitieux et extraterritorial (il couvre tous les fournisseurs de systèmes d’IA de l’UE, où que soit leur siège social) et prévoit, pour les entreprises qui enfreignent certaines règles, des amendes pharaoniques pouvant atteindre 30 millions d’euros ou 6 % du revenu annuel total de l’organisation (selon le montant le plus élevé).

Puisque le Canada se voit comme un carrefour émergeant des technologies d’IA, les décisions de l’UE sont surveillées de près au pays, tant par l’industrie que par les spécialistes juridiques. Jusqu’où devrait aller le Canada dans l’émulation du modèle européen?

Le projet européen adopte, en matière d’IA, une approche que les autorités de réglementation disent « fondée sur les risques ». Il interdit des applications précises de cette technologie – celles qui pourraient mener à des « préjudices physiques ou psychologiques » par l’usage de techniques « subliminales », ou qui ciblent des groupes vulnérables à la manipulation en raison « de leur âge ou d’une incapacité physique ou mentale ». Il proscrit, dans les espaces publics, les systèmes d’identification biométrique à distance « en temps réel », comme la reconnaissance faciale. Enfin, il condamne l’usage de l’IA aux fins de « pointage social » (la Chine, ça vous dit quelque chose?).

Sa principale innovation est l’« évaluation de la conformité » ex ante des systèmes à « risque élevé », qui doit être réalisée avant qu’un produit soit mis sur le marché. Il contient une liste des systèmes à risque élevé, notamment les systèmes biométriques à distance et ceux employés dans le placement en éducation et les évaluations de crédit.

Selon Teresa Scassa, titulaire de la Chaire de recherche du Canada en politiques et droit de l’information de l’Université d’Ottawa, c’est un début. « Certaines applications doivent être carrément interdites, tandis que d’autres doivent être strictement réglementées », explique-t-elle.

« Si les risques sont élevés, il est normal de prévoir un examen rigoureux avant la mise en marché. On a instauré l’approbation réglementaire préalable pour les médicaments et les appareils médicaux justement parce qu’il peut y avoir des conséquences néfastes en cas de défaillance. »

Mais selon M^e Kate Robertson, criminaliste de Toronto ayant codirigé l’année dernière une étude (article disponible uniquement en anglais) sur les systèmes algorithmiques de maintien de l’ordre pour le Citizen Lab de l’École Munk, il y a des omissions flagrantes dans la liste de technologies interdites de l’UE.

« Le plan européen est encore trop permissif. Il y a trop d’exceptions pour les forces de l’ordre », précise-t-elle, faisant référence au fait que les autorités de réglementation de l’UE autoriseraient quand même l’emploi de systèmes d’identification biométrique à distance lors des enquêtes policières pour une vaste gamme d’infractions au droit européen.

« Dans le plan, les systèmes de maintien de l’ordre prédictif à l’échelle du quartier ne sont pas considérés à “risque élevé”, mais ils le devraient », poursuit-elle, mentionnant les systèmes très controversés censés aider la police à surveiller les quartiers à haut taux de criminalité.

Par endroits, le projet européen est d’une imprécision frustrante, selon Gillian Hadfield, professeure de droit et directrice de l’Institut Schwartz Reisman pour la technologie et la société de l’Université de Toronto.

« Qu’entend-on par “risque”? Il y a différents niveaux de risque associés, par exemple, aux admissions scolaires comparativement à la reconnaissance faciale. Il faudrait définir la notion de risque, et ce sera très ardu. »

Charles Morgan, coleader national du groupe Cyber/Données de McCarthy Tétrault, pense que les Européens pourraient même avoir de la difficulté à définir l’objet de leurs règlements.

« Par exemple, la définition du concept de “fournisseur” de systèmes ou de services d’IA pose problème, dit-il. De nos jours, ce n’est pas si simple. Les entreprises qui offrent des services de bout en bout se font rares, tandis que les produits reposant sur l’assemblage de composantes à apprentissage machine issues de différentes sources deviennent plus courants. »

« Qui est le “fournisseur” dans ces situations? La tâche d’imputer une responsabilité peut être plus complexe qu’il n’y paraît. »

La professeure Hadfield pense aussi que l’approche européenne est trop axée sur les détails pour encadrer le secteur toujours changeant de l’IA, qu’il ne faut pas faire une longue liste de permissions et d’interdictions, mais plutôt établir des principes généraux qui puissent être appliqués par des inspecteurs indépendants.

« Les amendes, les actions antitrust, les règlements… ce sont des solutions du 20^e siècle qu’on tente d’appliquer à des problèmes du 21^e », conclut-elle.

« Ce qu’il faut éviter, c’est une série de normes détaillées qui ne pourront suivre l’évolution technologique. Les gouvernements doivent définir des critères fondés sur les résultats. Qu’ils s’en tiennent aux buts généraux et que les autorités de réglementation privées travaillent à l’atteinte des objectifs. »

« C’est pourquoi je n’aime pas l’idée des listes. La technologie évolue constamment, et aucune bureaucratie dans le monde ne pourra la suivre. »

Étant donné que les systèmes d’IA évoluent continuellement – qu’ils « apprennent » et changent au contact des données – il pourrait être malaisé pour les développeurs et les utilisateurs de respecter l’exigence européenne des évaluations de conformité ex ante, explique Laila Paszti, associée chez Davies à Toronto et ancienne ingénieure logicielle qui a mis au point des systèmes d’apprentissage machine pour l’industrie.

« Le parallèle avec les produits pharmaceutiques est juste. Mais ces derniers suivent habituellement un très long parcours avant d’arriver sur le marché. Les systèmes d’IA peuvent être mis au point très rapidement et – surtout – ils ont la capacité d’apprendre par eux-mêmes, de changer, de s’améliorer », nuance M^e Paszti.

« Si un système s’améliore et doit être évalué de nouveau, comment s’y prendra-t-on? À quelle fréquence doit-on l’évaluer? Cela pourrait entraver sérieusement le rendement des développeurs et les avantages de l’amélioration de ces systèmes d’IA. »

La question de l’uniformité, selon M^e Paszti, pourrait aussi poser problème pour les développeurs au Canada. Les entreprises canadiennes qui entendent vendre leurs produits en Europe souhaitent qu’il y ait un certain degré d’harmonisation entre les réglementations canadiennes et européennes. Le Canada n’a pas de cadre réglementaire visant précisément l’IA; mais en Ontario, le gouvernement a récemment lancé des consultations sur une nouvelle série de lignes directrices provinciales.

Dans ses recommandations de l’année dernière pour la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le Commissariat à la protection de la vie privée du Canada soutient que la loi devrait exiger que les organisations « [fassent] en sorte que les systèmes d’IA, dès la conception, assurent la protection de la vie privée et des droits de la personne », une approche semblable à celle de l’Europe. Le gouvernement fédéral doit mettre en place un modèle réglementaire qui « servirait de standard pour tout le pays », estime M^e Paszti.

« Plus le Canada alignera ses règlements sur les grands marchés comme l’UE, moins les entreprises canadiennes auront à composer avec des cadres divergents. »

« Le gouvernement fédéral devrait étudier ce qui se fait dans le monde et s’y adapter autant que possible. Et si le Canada peut influencer l’élaboration des règles à l’international pour qu’elles soient plus axées sur les résultats et moins prescriptives, il devrait le faire. »