Le renforcement de la protection des renseignements personnels au Québec, porté par la Loi 64, suffira-t-il à rendre l’IA responsable ? Le législateur pourra-t-il faire l’économie d’une loi globale réglementant l’intelligence artificielle (IA) ?
Une première étape importante a été franchie au Québec, le 21 septembre dernier, avec l’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dite Loi 64.
« Il s’agit d’un premier acquis même si l’entrée en vigueur de la loi va s’étaler sur plusieurs années en 2022, 2023 et 2024, comme le relève Céline Castets-Renard, Professeure à la Faculté de Droit de l’Université d’Ottawa. »
De surcroît, cette loi encadrant la protection des données, inspirée du RGPD en Europe, peut-elle vraiment se substituer à elle seule à une réglementation claire, contraignante visant plus largement l’intelligence artificielle ? Non, bien entendu.
CHAÎNE DES RESPONSABILITÉS
De fait, le caractère abscons de ces systèmes d’IA nécessiterait, sans doute, un cadre ne serait-ce que pour clarifier la chaîne des responsabilités. Rappelons simplement que certains modèles de l’apprentissage profond ou Deep Learning, dits modèles boîte noire, créés à partir de données par un algorithme échappent à la compréhension des développeurs eux-mêmes.
De plus, ces modèles peuvent aussi être composés d’éléments disparates tels que du code, des capteurs, des jeux de données… avec chacun leurs points de défaillance potentiels.
Dans de tels dispositifs méandreux, qui doit-être désigné comme responsable en cas d’échec ou de dommages causés aux utilisateurs ? Le développeur, l’ingénieur en apprentissage automatique, la gouvernance, le distributeur du système d’IA ?
Au Canada, en l’absence de loi réglementant l’IA, ce sont les dispositions contractuelles éventuelles qui désignent les responsabilités. « Celui qui a mis sur le marché sera, toutefois, le premier visé », précise la docteure en Droit.
L’UE VEUT INFLUENCER LA NORME À L’ÉCHELLE INTERNATIONALE
L’UE a tranché, pour sa part : si l’orientation donnée par le Livre Blanc sur l’intelligence artificielle de 2020 semblait tendre vers la responsabilisation du concepteur de l’IA donc de la personne physique, la proposition de règlement d’avril 2021 pointe plutôt la responsabilité de la personne morale. À ce stade, il ne s’agit que d’une proposition, car le règlement n’est pas encore adopté et ce texte sera discuté au Parlement européen en 2022.
« C’est la première grande loi à l’échelle internationale qui pose des règles précises avec des sanctions, les débats vont être très suivis, au Canada aussi. » – Céline Castets-Renard, Professeure à la Faculté de Droit de l’Université d’Ottawa
Ainsi, dans le système européen, le principal responsable est le fournisseur d’IA, celui qui le met sur le marché, qu’il soit établi dans l’Union européen ou en dehors…
C’est pourquoi les fournisseurs québécois, qui exportent en Europe, observent avec intérêt les évolutions réglementaires venant du Vieux-Continent.
Il s’agit tout simplement de « l’effet Bruxelles », beaucoup documenté par une chercheuse américaine, professeure à l’Université Columbia à New York, Anu Bradford : même si les États hors UE ne s’inspirent pas de la loi européenne, les entreprises s’y conforment car elles veulent travailler avec l’Europe.
COMMENT DÉFINIR LA RESPONSABILITÉ ?
Il est question, ici, uniquement de la responsabilité juridique, mais quid de la responsabilité éthique ? Par ailleurs, accordons-nous toujours le même sens à ce terme ?
Selon un document intitulé « Responsabilité en matière d’IA, Promouvoir une plus grande confiance de la société », produit pour préparer la Conférence multipartite du G7 sur l’intelligence artificielle, du 6 décembre 2018 à Montréal, il existe trois « sens » de la responsabilité dans la littérature sur l’IA.
- Le premier sens : l’intégration de l’explicabilité dans les systèmes d’IA permettrait d’identifier la responsabilité puisqu’elle est une caractéristique même du système d’IA ;
- Le deuxième sens : la responsabilité est étroitement liée à l’identification des personnes responsables des différentes incidences sur le système ;
- Troisième sens : la responsabilité est perçue comme une « caractéristique du vaste système sociotechnique qui élabore, produit, déploie et emploie l’IA ».
JUSTE DES BALBUTIEMENTS ?
Fort heureusement, en marge des débats sémantiques, des initiatives constructives se font jour au Québec, notamment avec la Stratégie d’intégration de l’intelligence artificielle dans l’administration publique 2021-2026, lancée l’an passé. Pourtant, « elle n’est pas accompagnée d’une feuille de route très concrète », regrette Cécile Castets-Renard.
Quant au niveau fédéral, le projet de loi C11 destiné à réviser la protection des renseignements personnels dans le secteur privé n’est toujours pas adopté.
Néanmoins, « le mandat donné au ministre François-Philippe Champagne [ministre de l’Innovation, des Sciences et de l’Industrie du Canada] inclut la réforme de la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales au Canada et aussi l’adoption de normes en matière d’IA, complète Castets-Renard. Ce qui est encourageant, mais demeure général. Nul ne sait si ces normes porteront sur l’éthique, la standardisation, ou bien le droit ? Ces normes seront-elles obligatoires avec sanctions à la clé ? »
DIRECTIVE SUR LA PRISE DE DÉCISIONS AUTOMATISÉE
Si la Stratégie pancanadienne en matière d’IA, lancée en 2017, va dans la bonne direction « le chemin semble encore long pour voir naître une IA responsable », selon la professeure de Droit.
À ses yeux, l’instrument qui semble le plus ouvrir la voie à un cadre juridique clair, « c’est la Directive sur la prise de décisions automatisée, mais elle ne s’applique qu’aux agences publiques et fédérales ».
Par ailleurs, cette directive n’a pas d’effet rétroactif…
Un rapport commun de la Commission du droit de l’Ontario et de la Chaire de Recherche sur l’intelligence artificielle responsable dans un contexte mondial, publié le 2 décembre dernier, montre aussi les différences entre la directive canadienne et la proposition de l’UE.
Il pointe ainsi les limites de ce texte.
Dans le texte de l’UE, certains systèmes d’IA sont purement et simplement interdits, tels que le score social [score représentant l’activité et l’influence globale d’un individu], la manipulation subliminale des individus ou encore la reconnaissance faciale dans les espaces publics par les forces de l’ordre sous réserve d’exception.
Ce n’est pas le cas dans la directive canadienne. Une autre différence : celle-ci exclut certains domaines dont le pénal, comme l’anticipation de prise de décision judiciaire ou bien la police prédictive.
AU-DELÀ DES DÉCLARATIONS… LE CADRE
Certes, l’adoption en novembre dernier d’une « norme » mondiale sur l’éthique de l’IA constitue une avancée considérable. Pour autant, l’UNESCO s’attend-elle à voir les États signataires prendre des sanctions ou faire des contrôles sérieux auprès des concepteurs d’IA et des entreprises qui vendent des systèmes d’IA ? Aussi, aura-t-elle les moyens d’assurer la mise en œuvre de ce texte et le contrôle de tous les États ? Ces questions restent d’actualité.
« À peu de frais, les États peuvent déclarer qu’ils veulent une IA centrée sur l’humain, respectueuse… car ça n’engage pas à grand-chose et même la Chine peut signer de tels textes sans problème. » – Céline Castets-Renard, Professeure à la Faculté de Droit de l’Université d’Ottawa
Au Canada, des règles de droit précises avec des obligations claires, des responsabilités circonscrites, des contrôles et des sanctions font aussi défaut.
« Je ne vois pas d’autres alternatives à l’adoption d’une loi réglementant l’IA. À défaut, à mon sens, l’IA responsable restera encore loin », conclut Cécile Castets-Renard.
Crédit photo : Chambre des Communes
Cet article s’inscrit dans le cadre d’une série que nous vous proposons et qui est consacrée aux “Défis 2022 de l’IA : vers une IA responsable, éthique et inclusive”.