L’apparition grandissante de l’intelligence artificielle ("IA") dans notre société et particulièrement dans l’économie, suscite de la part des pays du monde entier des préoccupations en matière de réglementation. Le Canada et l’Europe jouent par ailleurs un rôle de chef de file dans ce domaine puisque tous deux sont à l’origine des premiers projets de loi en matière d’intelligence artificielle. En effet, en juin 2022, le gouvernement du Canada a déposé la loi sur l’intelligence artificielle et les données (« LIAD ») dans le cadre du projet de loi C-27. Un projet qui faisait le 24 avril dernier l’objet d’une deuxième lecture par la chambre des communes. Côté Européen, le 21 avril 2021, la Commission européenne transmettait au Conseil et au Parlement européen le règlement établissant des règles harmonisées concernant l’intelligence artificielle (« AI Act »). Le projet européen fait quant à lui l’objet d’une première lecture par le Conseil après avis des comités et de la banque centrale européenne.
L’objectif de chacun de ces projets vise à établir une législation harmonisée autour du développement, de la commercialisation et de l’utilisation de l’intelligence artificielle par les entreprises et les consommateurs. Il s’agit de mettre en place des critères de risque et d’obligations relatives à certaines pratiques tout en maintenant le développement et l’innovation en matière d’IA.
On peut relever que les méthodes pour parvenir aux objectifs similaires visés de chaque côté de l’Atlantique divergent à certains égards. Nous vous proposons ainsi une étude comparative de ces projets de loi.
La portée et définition de l’intelligence artificielle
Alors que la LIAD limite son application aux personnes qui exercent une activité règlementée dans le cadre du commerce international ou interprovincial[1] et exclut les institutions fédérales, l’AI Act s’appliquerait à tout fournisseur ou utilisateur de systèmes d’IA situé en Europe ou qui produit des résultats utilisés en Europe[2] et dans le cadre d’une activité commerciale qu’elle soit payante ou non, à l’exclusion des systèmes développés à des fins militaires. Son champ d’application est alors plus large que celui de LIAD.
Dans sa définition du système d’intelligence artificielle, LIAD vient établir et réduire l’application de la loi aux systèmes technologiques autonomes ou partiellement autonomes[3], a contrario le règlement européen ne présente encore aucune restriction et inclut « tout logiciel qui peut générer des résultats »[4]. Un champ d’application large qui nécessiterait dans son étude ou a posteriori par le biais de directives, des précisions et restrictions afin d’éviter toute complexité et répétitions avec des lois applicables et existantes.
Gestion des risques
L’AI Act propose une évaluation détaillée des systèmes de risques liés à l’utilisation de l’IA et quatre niveaux sont identifiés :
· Les risques inacceptables
· Les risques élevés
· Les risques limités
· Les risques minimaux ou nuls
Des interdictions sont prévues par le législateur européen dans l’exécution de certaines pratiques ou dans l’utilisation de certains systèmes d’IA dans le cas où ces dernières peuvent causer des risques inacceptables.[5]
Au contraire, la loi canadienne ne prévoit pas d’interdiction et limite son champ d’application aux systèmes d’intelligence artificielle à incidence élevée. Seul le ministre dispose de la capacité d’ordonner la cessation d’une utilisation ou mise à disposition d’un système à incidence élevée pouvant entraîner un risque grave de préjudice imminent.
Gouvernance et gestion des données
Si la LIAD prévoit un certain nombre de mesures pour protéger les entreprises et les consommateurs dans l’utilisation et la mise à disposition du système d’IA, très peu de ces mesures abordent la gouvernance et la politique des données. En effet, seules des exigences d’anonymisation des données sont prévues par le législateur. À l’inverse, la Commission européenne impose de multiples obligations, particulièrement stricts en la matière. En effet, l’IA Act prévoit que tous les jeux de données d’entraînement, de validation et de test doivent respecter des pratiques appropriées en matière de gouvernance et gestion des données et être exempt d’erreurs ou fiables et complètes dans la mesure du possible.[6]
Une approche divergente qui démontre que la LIAD vient s’intégrer dans un corpus législatif qui prévoit déjà cette protection des données tandis que l’IA Act vient plutôt favoriser une protection spécifique des données dans le domaine de l’intelligence artificielle.
Sanction en cas de violation
Les deux projets se rencontrent dans la mise en place d’autorité de contrôle et de lourdes sanctions en cas de non-conformité.
Du côté européen, l’IA Act suit la logique du RGPD et prévoit des amendes administratives pouvant aller jusqu’à 20 000 000 Euros, ou 4% du chiffre d’affaires si l’auteur est une entreprise. Des sanctions plus sévères sont également prévues lorsqu’il s’agit de système, dont l’usage crée un risque inacceptable ou le non-respect des mesures de gouvernances, puisqu’une amende de 30 000 000 euros ou 6 % du chiffre d’affaires peuvent être imposé à une personne ou entreprise.
Du coté canadien, en plus des sanctions sur l’utilisation que peut prendre le ministre, LIAD prévoit des sanctions pécuniaires qui peuvent être imposées à la personne ou l’entreprise qui contrevient à la loi. Ces montants peuvent aller jusqu’à 10 millions ou 3% des recettes globales brutes.
En définitif, ces initiatives législatives positionnent le Canada et l’Europe comme chefs de file en matière d’intelligence artificielle et mettent en évidence des objectifs communs et des préoccupations fondamentales même si leurs approches peuvent parfois diverger.
[1] Article 6 de la loi sur l’intelligence artificielle et les données [2] Article 2(1) du règlement établissant des règles harmonisées concernant l’intelligence artificielle [3] Article 2 de la loi sur l’intelligence artificielle et les données [4] Article 3(1) du règlement établissant des règles harmonisées concernant l’intelligence artificielle [5] Article 5 du règlement établissant des règles harmonisées concernant l’intelligence artificielle [6] Article 10 du règlement établissant des règles harmonisées concernant l’intelligence artificielle
Comments