Réglementation de l’IA : revue de l’actualité mondiale des derniers mois

Réglementation de l’IA : revue de l’actualité mondiale des derniers mois

Introduction

L’intelligence artificielle (l’« IA ») poursuit inexorablement sa marche, poussant le monde entier à multiplier les stratégies pour garder le rythme.

Ce bulletin sur l’état de la réglementation de l’IA dans le monde fait suite au tour d’horizon mondial que nous avons consacré à ce sujet plus tôt cette année.

Canada

• La LIAD continue de cheminer dans le processus législatif. Le Canada souhaite encadrer l’IA au moyen de la Loi sur l’intelligence artificielle et les données (la « LIAD »), proposée récemment. Comme nous l’expliquions dans ce bulletin, la LIAD vise à atténuer les risques de préjudices pouvant résulter de l’utilisation des systèmes d’IA, de même qu’à favoriser une utilisation responsable de ces systèmes en imposant des obligations strictes de surveillance et de transparence aux entreprises souhaitant en tirer parti. Le projet de loi C-27, dont la LIAD est un des volets, fera l’objet de travaux d’étude du Comité permanent de l’industrie et de la technologie à l’automne.
• Un code de pratique d’application volontaire pour l’IA générative. Dans la foulée des engagements volontaires qu’ont pris de grandes entreprises d’IA aux États-Unis, Innovation, Sciences et Développement économique Canada (« ISDE ») a annoncé l’élaboration d’un code de pratique analogue. Dans son communiqué, le ministère sollicite des commentaires sur des questions dont pourrait traiter le code de pratique, à savoir la sécurité, la justice et l’équité, la transparence, la supervision et la surveillance par les humains, la validité et la robustesse ainsi que la responsabilité. Le code se voudrait un outil provisoire, applicable le temps que la LIAD chemine dans le système parlementaire.
• Le CCC publie un avertissement au sujet de l’IA générative. Le Centre canadien pour la cybersécurité a publié, à l’intention des organisations utilisant des technologies d’IA générative, un document de sensibilisation les alertant sur les risques de mésinformation et de désinformation, d’atteinte à la confidentialité des données et de production de contenu biaisé. Pour atténuer ces risques, il recommande de vérifier l’exactitude du contenu, d’appliquer les correctifs et les mises à jour de sécurité des logiciels et de mettre en place des mécanismes d’authentification multifactorielle robustes afin de protéger les données personnelles.
• Le commissaire à la protection de la vie privée du Canada publie une déclaration sur l’IA générative avec ses homologues du G7. Le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a publié conjointement avec ses homologues du G7 une déclaration reconnaissant les risques que l’IA générative peut présenter pour la vie privée si elle n’est pas réglementée. La déclaration presse les développeurs d’intégrer la protection de la vie privée dans la conception et le fonctionnement des technologies d’IA générative.
• Déclaration commune sur l’extraction de données. Le 24 août, le commissaire s’est aussi joint à des autorités de protection des données du monde entier pour publier une déclaration commune sur l’extraction de données. Les signataires font valoir que l’extraction non balisée de données en ligne enfreint les lois sur la protection de la vie privée, et que les entreprises de médias sociaux doivent agir pour empêcher qu’elle soit pratiquée sur leurs plateformes. Leur appel à l’action s’adresse en particulier aux développeurs qui comptent entraîner des systèmes d’IA à partir de données censément « publiques ».
• Des tribunaux canadiens émettent des directives pratiques sur l’utilisation de l’IA dans les documents judiciaires. La Cour suprême du Yukon (voir la directive [en anglais]) et la Cour du Banc du Roi du Manitoba (voir la directive) obligent désormais les avocats à faire une déclaration s’ils ont utilisé des technologies d’IA générative dans la préparation de documents présentés aux tribunaux. Ces mesures ont été prises après que des avocats ont été sanctionnés pour avoir invoqué de la jurisprudence fictive produite par des technologies d’IA générative.

Union européenne

• Adoption de la législation sur l’intelligence artificielle. L’Union européenne fait figure de précurseur en matière de réglementation de l’IA, notamment par sa législation sur l’intelligence artificielle. Le 14 juin 2023, les députés du Parlement européen ont adopté cette dernière par un vote majoritaire; suivront des discussions avec les États membres sur le libellé final du texte de loi. Suivant une approche fondée sur les risques, la législation classe les systèmes d’IA en fonction des risques qu’ils présentent pour la sécurité et la protection de la vie privée. La rigueur des règles est proportionnelle au degré de risque.

États-Unis

• Des titans de l’IA prennent des engagements volontaires. Le 21 juillet, sept grands noms de l’IA aux États-Unis se sont engagés volontairement auprès de l’administration Biden-Harris à mettre au point des technologies sûres et transparentes (voir l’annonce [en anglais]). Plus précisément, ces entreprises ont promis de mener des tests de sécurité avant de proposer leurs technologies au public, de déclarer les capacités et les limites de ces dernières et d’investir dans des mécanismes de cybersécurité robustes.
• Le NIST publie un cadre et crée un groupe de travail. Si le gouvernement fédéral américain n’a pas encore légiféré sur l’utilisation de l’IA, certains organismes gouvernementaux fournissent des orientations sur le sujet. Mentionnons par exemple l’Artificial Intelligence Risk Management Framework (cadre de gestion des risques posés par l’IA) qu’a publié plus tôt cette année le National Institute of Standards and Technology (le « NIST»). Ce cadre se veut un outil d’application volontaire pour les entreprises utilisant des technologies d’IA. La secrétaire au Commerce des États-Unis a par ailleurs annoncé récemment la création, au NIST, d’un groupe de travail public sur l’IA dont le mandat consistera notamment à fournir des orientations aux organisations qui développent, déploient et utilisent de l’IA générative.
• Des organismes nationaux publient une déclaration commune sur l’IA. Quatre organismes nationaux des États-Unis ont publié une déclaration commune sur le devoir qu’ils ont, comme autorités d’application de la loi, de lutter contre la discrimination et les biais dans l’utilisation des systèmes d’IA. Affirmant que l’utilisation de l’IA peut entretenir la discrimination et enfreindre les lois fédérales, les signataires s’engagent à continuer de surveiller et de protéger les droits individuels afin que soient respectés les principes de justice et d’égalité chers aux Américains.
• Des villes et des États adoptent des instruments législatifs. En attendant que le fédéral légifère, quelques villes et États adoptent leurs propres instruments législatifs encadrant l’IA. New York, par exemple, a récemment adopté la Local Law 144, qui crée des obligations pour les employeurs utilisant des outils de prise de décision automatisée (voir notre bulletin sur le sujet). Par ailleurs, diverses lois étatiques entrées en vigueur récemment offrent la possibilité de refuser le profilage quand il est question de prise de décision automatisée. C’est le cas de la Data Privacy Act du Connecticut, de la Privacy Act du Colorado et de la Consumer Data Privacy Act de la Virginie.

Chine

• Des mesures concernant l’IA générative entrent en vigueur. La Chine a publié sa propre réglementation relative à l’IA générative, les Interim Measures for the Management of Generative Artificial Intelligence Services (mesures provisoires pour la gestion des services d’intelligence artificielle générative). Ces mesures sont entrées en vigueur ce mois-ci et s’appliquent aux technologies d’IA à la disposition du grand public. Elles visent à prévenir la discrimination associée à l’utilisation de l’IA, à protéger le droit de la vie privée des citoyens et à assurer la transparence de l’IA.

Brésil

• Dépôt du projet de loi 2338. S’alignant sur l’approche européenne, le projet de loi 2338 du Brésil propose de réglementer les systèmes d’IA en fonction du risque. Il exigerait une évaluation d’impact pour les systèmes présentant un risque élevé (voir un résumé du projet de loi [en anglais]). La loi imposerait aussi des obligations générales de transparence, entre autres mesures de protection de la vie privée.

Royaume-Uni

• Une approche « pro-innovation ». Pour réglementer l’IA, le Royaume-Uni prône une approche « mesurée » et « pro-innovation », comme l’explique un document stratégique publié à la suite de consultations. Le gouvernement consultera de nouveau les acteurs concernés afin d’en venir à un ensemble de principes que des organismes de réglementation existants seraient chargés de faire respecter. Le document stratégique propose cinq grands principes : i) Sécurité, sûreté et robustesse; ii) Transparence et explicabilité; iii) Équité; iv) Responsabilisation et gouvernance; v) Contestabilité et recours.

Australie 

• Des principes d’application volontaire. Pour le moment, l’Australie renonce elle aussi à l’approche législative. Elle a plutôt publié des principes d’éthique d’application volontaire qui reposent sur le bien-être, des valeurs centrées sur l’humain, la transparence, la fiabilité et la sécurité de l’IA ainsi que l’équité.
• Deux documents de réflexion en prévision d’un cadre réglementaire. Le ministre australien de l’Industrie et des Sciences a néanmoins indiqué son intention d’établir un cadre réglementaire. Le cadre proposé suit l’approche fondée sur le risque de l’Union européenne, qui classe les systèmes d’IA selon le risque qu’ils posent pour la société. Le gouvernement a publié deux documents évaluant les risques et les possibilités associés à l’utilisation de technologies d’IA dans le pays.

Nouvelle-Zélande

• Un intérêt croissant pour la réglementation de l’IA. Si la Nouvelle-Zélande ne s’est pas encore dotée d’un cadre global pour réglementer l’IA, certains organismes gouvernementaux s’intéressent de près à la question. Par exemple, le commissaire à la protection de la vie privée du pays a récemment publié une mise à jour de son document d’orientation sur l’IA générative qui impose des attentes relatives à la transparence et à la sécurité aux organisations déployant des systèmes d’intelligence artificielle.

Singapour 

• Trousse AI Verify. Singapour a elle aussi choisi de ne pas assujettir l’IA à un vaste cadre législatif et opte plutôt pour une approche souple. Deux initiatives sont à souligner. D’abord, la trousse pour logiciels AI Verify, qui permet aux entreprises utilisant l’IA de démontrer que leurs technologies respectent onze principes généralement reconnus dans le monde en matière de cadres réglementaires[1].
• Cadre modèle de gouvernance. La seconde initiative est la publication du Model AI Governance Framework (cadre modèle de gouvernance pour l’IA), qui fournit des orientations à toute organisation du secteur privé souhaitant utiliser des technologies d’IA. Ses objectifs : favoriser la transparence et la sécurité, et donner confiance dans l’utilisation qui est faite de l’IA.

Affaires judiciaires dignes de mention

• Poursuite contre OpenAI pour atteinte à la vie privée. La Federal Trade Commission des États-Unis a ouvert une enquête sur OpenAI. Elle réclame des documents afin de pouvoir déterminer si le processus qu’a utilisé la société pour entraîner ChatGPT a pu donner lieu à des atteintes à la vie privée et à des violations des lois sur la cybersécurité.
• Poursuite alléguant des « hallucinations » de ChatGPT. Mark Walters, un animateur de radio de la Floride, poursuit OpenAI en diffamation, alléguant que ChatGPT a produit à son sujet une information fausse – fruit de ce qu’on appelle dans le domaine une « hallucination » de l’IA générative – selon laquelle il serait accusé de fraude et de détournement de fonds. Il s’agit d’une des premières affaires civiles portant sur l’exactitude des faits rapportés par ChatGPT aux États-Unis.
• IA et violation du droit d’auteur. Les affaires qui mettent ChatGPT au banc des accusés ne concernent pas que les atteintes à la réputation, mais aussi la violation du droit d’auteur. L’humoriste et actrice américaine Sarah Silverman poursuit OpenAI et Mark Zuckerberg après que de très nombreux documents protégés par le droit d’auteur ont été trouvés dans les jeux de données servant à entraîner les logiciels d’IA de la société. Maints autres producteurs de contenu poursuivent OpenAI en justice dans des affaires du même ordre.
• Une IA ne peut pas détenir de droit d’auteur. Toujours dans le domaine du droit d’auteur, dans l’affaire Thaler v. Perlmutter, D.D.C., No. 1:22-cv-01564, la Cour de district des États-Unis pour le district de Columbia a récemment établi qu’une IA ne pouvait pas détenir de droit d’auteur sur une œuvre, concluant que le lien entre l’œuvre et un auteur humain était une condition essentielle pour qu’un droit d’auteur valide soit accordé. Cette décision est conforme aux orientations que le U.S. Copyright Office a publiées en mars dernier.
• Action collective pour utilisation d’informations sans consentement. Google a été accusée, dans une action collective récente, de recueillir des quantités massives d’informations en ligne pour entraîner ses modèles d’IA, et ce, sans demander de consentement ni donner avis de la collecte. Les poursuivants réclament au moins 5 milliards de dollars en dédommagement. Dans sa défense, l’avocat principal de Google est catégorique: la société ne s’est jamais cachée d’utiliser des informations de sources publiques, et la loi américaine n’interdit pas d’utiliser des informations du domaine public à de nouvelles fins bénéfiques.

Conclusion et points à retenir

Les progrès fulgurants de l’IA poussent les États du monde entier à l’action. De la LIAD canadienne à la législation étoffée de l’UE, les stratégies varient pour encadrer les diverses dimensions de l’intelligence artificielle, qu’il soit question d’éthique, de protection de la vie privée ou de sécurité. Parallèlement, les poursuites liées à l’IA explosent, mettant au jour les problèmes de propriété intellectuelle qui se posent dans ce domaine où le paysage juridique évolue rapidement. Si des incertitudes demeurent, une chose est sûre : l’intelligence artificielle est appelée à occuper une place grandissante dans nos vies, pour le meilleur ou pour le pire.

Pour toute question sur la réglementation de l’IA et la manière dont votre entreprise peut se préparer aux changements à venir, n’hésitez pas à communiquer avec un membre du groupe des Technologies de TRC-Sadovod.

[1] Les 11 principes de gouvernance sont les suivants : transparence; explicabilité; répétabilité/reproductibilité; sécurité, sûreté et robustesse; équité; gouvernance des données; responsabilisation; intervention humaine; supervision humaine; croissance inclusive; bien-être sociétal et environnemental.

par Robbie Grant, Robert Piasentin et Clifford Chuang (étudiant d’été en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© TRC-Sadovod S.E.N.C.R.L., s.r.l. 2023