Transcription
Transcription : L'état actuel de la réglementation en matière d'intelligence artificielle
[00:00:01 Un texte s'affiche à l'écran : « Bienvenue ».]
[00:00:06 L'écran s'estompe pour montrer Vanessa Vermette dans un panneau de discussion vidéo.]
Vanessa Vermette (École de la fonction publique du Canada) : Bon après-midi et bienvenue. Je m'appelle Vanessa Vermette et je suis ravie d'être votre animatrice pour la séance d'aujourd'hui, qui porte sur l'état actuel de la réglementation en matière d'intelligence artificielle. Avant d'aller plus loin, j'aimerais souligner que je m'adresse à vous depuis le territoire traditionnel non cédé de la Nation algonquine Anishinabeg. J'exprime ma sincère gratitude aux générations d'Algonquins passées et présentes qui ont été les gardiens de cette terre.
Je vous invite toutes et tous à prendre le temps de réfléchir à l'importance de ce lieu ou du territoire où vous vous trouvez aujourd'hui et à honorer la présence et les contributions des peuples autochtones. La séance d'aujourd'hui a pour but d'aider les fonctionnaires à réfléchir de façon critique à la manière dont l'intelligence artificielle transforme la gouvernance, la loi et la responsabilisation. À mesure que les outils d'IA deviennent de plus en plus intégrés dans le processus décisionnel public, il est essentiel que nous comprenions non seulement leur potentiel d'innovation, mais aussi les cadres juridiques et éthiques nécessaires pour guider leur utilisation responsable.
Dans un contexte où les gouvernements du monde entier s'emploient rapidement à réglementer l'IA, la discussion d'aujourd'hui vous offrira un aperçu de la façon dont le Canada peut élaborer des approches permettant de concilier de façon équilibrée l'innovation, la transparence, l'équité et la confiance du public. C'est un sujet très intéressant et nous avons un conférencier exceptionnel avec nous aujourd'hui. Cette présentation sera également suivie d'une séance de questions et réponses. J'encourage donc toutes les personnes qui se joignent à nous aujourd'hui à soumettre leurs questions à notre conférencier en utilisant l'icône de bulle sur leur interface de webdiffusion.
Je suis très heureuse d'accueillir notre conférencier invité, Abdi Aidid, qui est professeur adjoint à la Faculté de droit de l'Université de Toronto et titulaire d'une chaire de recherche du Canada sur l'intelligence artificielle et l'accès à la justice. Il a également coécrit l'ouvrage The Legal Singularity: How Artificial Intelligence Can Make Law Radically Better.
[00:01:52 L'écran montre Abdi Aidid dans un autre panneau de discussion vidéo.]
Ses recherches portent sur l'interaction entre les technologies émergentes et les systèmes juridiques, la réglementation et la conception institutionnelle. Le professeur Aidid est une voix influente sur le rôle de l'IA dans la transformation de la façon dont les lois sont créées, interprétées et appliquées, un enjeu auquel les décideur·es politiques et les fonctionnaires accordent de plus en plus d'importance. Depuis peu, il est aussi chercheur invité à l'École de la fonction publique du Canada dans le cadre de l'Initiative de chercheurs invités Ian D. Shugart, ce qui nous réjouit énormément. Aujourd'hui, il présentera un aperçu de la réglementation actuelle en matière d'IA au Canada et à l'échelle mondiale, et soulignera les principales évolutions, les tendances émergentes et les diverses approches mises en œuvre par les gouvernements pour gérer l'innovation engendrée par l'IA.
Il expliquera également comment le Canada peut renforcer la responsabilisation tout en réalisant des progrès dans ce domaine, et ce que cela signifie pour le rôle de la fonction publique dans l'orientation de la gouvernance de l'IA à l'avenir. Sur ce, veuillez vous joindre à moi pour souhaiter la bienvenue au professeur Abdi Aidid. Abdi, c'est un plaisir de vous recevoir aujourd'hui. La parole est à vous.
Abdi Aidid (chercheur invité, École de la fonction publique du Canada) : Merci, Vanessa, pour cette belle présentation J'espère que tout le monde m'entend bien. Je vais légèrement ajuster mon écran. Je ne vous vois pas toutes et tous, mais j'espère que vous allez bien. Je suis vraiment ravi d'être ici à nouveau pour discuter avec des fonctionnaires qui, à bien des égards, sont à la fine pointe de l'utilisation de l'IA. Cela pourrait surprendre certains d'entre vous, mais en réalité, vous prenez des risques. Vous avez affaire à du matériel complexe. Vous essayez de trouver une façon d'intégrer des outils dans votre pratique, et je crois que le public souhaite vraiment en savoir plus à ce sujet. L'application de ces outils comporte des enjeux élevés qui peuvent parfois sembler risqués. Je tiens donc à féliciter toutes les personnes qui réfléchissent aux moyens d'utiliser l'IA au quotidien et à vous dire qu'il s'agit d'une tâche difficile et compliquée. Si nous avons des discussions comme celle-ci, c'est en partie pour aider les gens à comprendre ce qui semble parfois être un avenir incertain. Permettez-moi de vous expliquer un peu comment j'en suis venu à m'intéresser à ce sujet, ce qui, je crois, peut aider à présenter les choses, à mettre les cartes sur table, en quelque sorte. Vanessa a mentionné que j'ai écrit un livre intitulé « The Legal Singularity ». Le sous‑titre est « How Artificial Intelligence Can Make the Law Radically Better » (Comment l'intelligence artificielle peut radicalement améliorer les lois). Vous pourriez croire par erreur qu'il s'agit d'un texte écrit par un évangéliste, mais le mot clé est « peut ». Le verbe « peut » est utilisé, parce que je ne pense pas qu'il y ait une garantie que l'IA fera nécessairement grand-chose… il s'agit en fait d'une initiative profondément humaine, et c'est à nous de veiller à ce qu'elle serve nos intérêts alors qu'elle pourrait très bien aller dans l'autre sens.
C'est pourquoi, bien que je sois emballé par ce que pourrait nous réserver l'IA dans le futur, je crois réellement qu'il nous incombe de trouver comment l'utiliser à notre avantage. En fait, à mon avis, il faudrait la subordonner à nos intérêts, pour en arriver presque à conquérir ce que nous connaissons sous le nom d'IA. J'ai déjà utilisé cette analogie par le passé, mais lorsque je pense à l'IA, je ne peux m'empêcher de faire un parallèle avec l'avion comme moyen de transport. Je pense que nous sommes toutes et tous d'accord pour dire que c'est le moyen le plus rapide de se rendre du point A au point B et de parcourir de longues distances. Cela étant dit, je n'ai pas pris l'avion pour me rendre au bureau aujourd'hui. Donc, selon la situation ce n'est peut-être pas toujours ce que vous souhaiterez nécessairement utiliser, mais vous avez certaines attentes ou exigences en ce qui concerne le transport aérien. Vous voulez croire qu'il y a un pilote dans le poste de pilotage et qu'il y a un représentant de Transports Canada qui a vérifié les écrous et les boulons. Je pense que vous voulez qu'il y ait un écosystème de contraintes, comme des écoles de pilotage pour veiller à ce que les pilotes soient bien formés, et qu'il y ait également un numéro de téléphone que vous pouvez composer en cas de problème avec votre billet. Tous ces systèmes et soutiens sont essentiels pour garantir un atterrissage efficace de l'avion.
La réalité, en ce qui a trait à l'intelligence artificielle à l'heure actuelle, est que nous n'avons pas réellement investi dans cet écosystème de contraintes. L'état actuel de la réglementation en matière d'IA au Canada, en quelques mots, est assez sommaire. Nous n'avons pas vraiment de loi générale sur l'IA. Nous expliquerons pourquoi cela est le cas par rapport, par exemple, à l'Union européenne, qui dispose d'une loi sur l'IA, qui est un texte législatif complet sur l'IA.
En outre, l'IA pose un défi existentiel à l'écosystème traditionnel des contraintes, à savoir le droit. Par exemple, certain·es d'entre vous entendent parler d'IA agentive. L'IA agentive consiste à prendre toutes les techniques sophistiquées de la science des données et de l'intelligence artificielle et à les investir en vue de créer une persona capable d'effectuer des transactions non supervisées. Il s'agit évidemment d'une explication simplifiée à l'extrême, pour vous aider à comprendre de quoi il s'agit.
Qu'est-ce que cela va signifier pour le droit contractuel? Parce que si l'IA devait être en mesure d'effectuer des achats en votre nom, nous attendons d'un contrat qu'il contienne des promesses et des obligations mutuelles, une rencontre des volontés. Eh bien, dans ce contexte, on ne peut pas parler de volonté. Comment envisage-t-on l'utilisation d'un véhicule autonome en ce qui a trait au concept de négligence, où une personne est considérée comme étant responsable des dommages qu'elle a causés, lorsqu'elle n'a pas pris suffisamment de précautions? Qu'en est-il si le système est entièrement automatisé et qu'il n'y a personne pour prendre des précautions en premier lieu? Qu'est-ce que cela signifie pour la propriété intellectuelle? Qu'est-ce que cela signifie pour les droits garantis par la Charte? L'IA pose un défi majeur à tous les domaines du droit, ce qui le rend moins apte à limiter le phénomène qu'elle est. C'est notamment le cas en l'absence de ce que l'on pourrait considérer comme une législation traditionnelle et complète en matière d'IA.
Cela étant dit, je pense qu'il y a de nombreuses raisons de se réjouir, et je vais vous en donner deux. Il faut se réjouir du fait que l'intelligence artificielle est quelque chose que nous avons déjà la capacité technique de réaliser et de partager. En tant que fonctionnaires, les choses qui nous facilitent la vie ne seront pas nécessairement les nouvelles applications de l'intelligence artificielle qui verront le jour dans 10 ou 15 ans. Ce sont des technologies déjà disponibles avec lesquelles nous pouvons nous familiariser dès maintenant, par exemple l'utilisation de l'IA générative pour une meilleure réactivité et pour la rédaction initiale de documents. Donc ces tâches qui font partie de notre quotidien et que nous pouvons améliorer en trouvant des façons d'utiliser l'IA, cela est déjà techniquement possible.
Je pense que ce n'est pas le cas dans tous les autres domaines. Par exemple, si vous êtes chirurgien ou chirurgienne ou si vous travaillez dans le domaine du génie robotique, vous attendez encore que la technologie franchisse un certain seuil avant de pouvoir trouver des moyens de l'utiliser dans le cadre d'une division du travail. Je pense qu'aujourd'hui, nous avons une idée de ce à quoi l'IA peut servir. Nous pouvons donc commencer à expérimenter et à nous exercer, ce qui signifie également pour les gens comme moi que nous devons commencer à élaborer des règles et des cadres pour garantir une utilisation responsable. C'est donc un point positif. L'autre grand avantage, c'est que le secteur public se trouve actuellement dans une situation où il sera... Je soupçonne que par rapport à vos pairs du secteur privé, vous avez de bonnes raisons d'appliquer légèrement les freins.
Pourquoi? Parce que vous reconnaissez qu'à l'autre extrémité de tous les programmes de services et de toutes les politiques sur lesquels nous travaillons, que nous concevons, il y a un public qui a des intérêts. Il a des intérêts que l'IA peut parfois menacer. Il souhaite que les données soient exactes. Il a intérêt à ce que l'équité soit respectée. Il a intérêt à ce que les programmes soient mis en œuvre sans parti pris. Il a intérêt à ce que la Charte soit respectée. Il s'intéresse à la qualité des programmes. Ce n'est donc pas la même chose que d'essayer de trouver des moyens d'utiliser l'IA agentive pour dynamiser notre centre d'appels. Nous essayons de trouver des moyens de mieux répondre aux besoins des gens, ce qui nécessite parfois un examen plus approfondi. Nous nous trouvons donc dans une situation où la technologie nous est déjà utile de diverses façons critiques, mais nous nous trouvons également dans une situation où il est communément admis que nous devons faire preuve de prudence avant de commettre trop d'erreurs. Je pense donc qu'entre les deux se trouve une excellente occasion de faire preuve de réflexion et d'intentionnalité quant à notre propre utilisation de l'IA, et qu'une partie importante consiste à comprendre en arrière-plan ce que dit la loi jusqu'à présent.
J'ai mentionné qu'il n'existe pas encore de loi générale sur l'IA au Canada. C'est en fait le résultat de ce que l'on pourrait appeler une tentative avortée il y a environ un an. Donc, certain·es d'entre vous ont entendu parler du projet de loi C-27. Le projet de loi C-27 était censé devenir une loi sur la protection de la vie privée.
[00:10:57 Une diapositive en anglais intitulée « Projet de loi C-27 » est affichée. Un cercle contenant l'acronyme « LPRPDE » est barré à côté d'une flèche pointant vers un autre cercle contenant la « Loi sur la protection des renseignements personnels des consommateurs » à côté d'un signe plus, ainsi que vers deux autres cercles contenant respectivement la « Loi sur le Tribunal de la protection des renseignements personnels et des données » et la « Loi sur l'intelligence artificielle et les données ».]
Nous avons la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est une loi sur la protection de la vie privée à laquelle sont assujetties les organisations du secteur privé, et nous avons la Loi sur la protection des renseignements personnels, qui est une loi fédérale sur la protection de la vie privée. Certaines personnes pourraient critiquer ces lois et affirmer qu'elles sont dépassées, en partie parce qu'elles ne tiennent pas vraiment compte de notre environnement actuel en ce qui a trait aux technologies de l'information, ou encore de concepts tels que l'échange de données sans heurts. Mes collègues les plus cyniques pourraient dire que nous avons une loi sur la protection de la vie privée qui est plus ou moins articulée autour de la télécopie. Le défi, c'est que nous devons constamment étirer et remettre en question ce que nos lois sur la protection de la vie privée sont censées faire, par exemple, le genre de mesures de sûreté et de sécurité que les entreprises doivent prendre pour s'assurer que les données des gens ne sont pas perdues. Ces mesures incluent-elles l'entreposage en masse et sans heurts des renseignements personnels, la collecte rapide, l'utilisation de l'IA pour recueillir des informations sur les gens même sans avoir accès à leurs renseignements personnels? Ce sont des éléments qui n'étaient pas vraiment prévus dans les lois sur la protection de la vie privée. C'est pourquoi nous avons essayé, entre autres, de les réformer, de les rendre plus réactives aux réalités modernes et de faire en sorte qu'elles soient adaptées à la technologie. La promesse était le projet de loi C-27 allait faire plusieurs choses. Premièrement, il allait supplanter la plupart des dispositions de la LPRPDE et remplacer celle-ci par la Loi sur la protection de la vie privée des consommateurs, ce qui constitue une grande réalisation sur le plan intellectuel. C'était une loi sur la protection de la vie privée qui devait mieux tenir compte des défis liés à la technologie et donner aux gens des droits solides. Par exemple, elle devait donner aux gens certains droits tels que le droit à la mobilité des données, qui n'était pas prévu par la LPRPDE. Ce droit prévoit par exemple que les personnes aient un certain contrôle sur l'endroit où leurs données sont stockées, qu'elles puissent les récupérer dans certains contextes, etc. Ce projet de loi prévoyait également la création du Tribunal de la protection des renseignements personnels et des données, un organisme quasi juridictionnel chargé de cette cohorte émergente de ce que l'on pourrait qualifier de préjudices relatifs à la vie privée. Donc les gens ont des griefs. Ils disposent tous d'un organe chargé de résoudre ces griefs. Cet organe a le pouvoir d'émettre des ordonnances et de rendre des jugements. Mais la grande surprise, même pour celles et ceux qui s'attendaient à une révision des lois sur la protection de la vie privée, c'est qu'une loi supplémentaire y a été annexée, la Loi sur l'intelligence artificielle et les données, aussi appelées LIAD, c'est comme vous préférez.
En fait, nous ne savons même pas quelle est la bonne façon de prononcer l'acronyme « LPRPDE », cela dépend de la personne à qui vous parlez. Mais la Loi sur l'intelligence artificielle et les données était notre tentative de créer une réglementation générale sur l'intelligence artificielle au Canada. Cette initiative comporte toutefois certains défis. Premièrement, comment peut-on véritablement réglementer l'IA quand on ne sait pas tout à fait ce qui s'en vient? C'est un élément important auquel j'aimerais que les gens réfléchissent, parce que de nombreuses personnes critiquent les pays où l'IA n'est pas réglementée de façon significative. La question que je pose toujours est la suivante : « Je suis d'accord avec vous, cela devrait être réglementé. Mais comment doit-on procéder exactement? » Donc, dans un contexte plus large, je voudrais que vous réfléchissiez au fait qu'en matière de droit, il y a réellement deux types de lois. Nous avons ce que l'on appelle des règles et des normes.
Donc une règle est une loi spécifique. Par exemple, vous ne pouvez pas rouler à plus de 50 kilomètres à l'heure sur la rue Yonge. D'accord? C'est une règle. Pourquoi? Parce qu'aucun élément de contexte que vous pourriez ajouter n'aura d'incidence sur la question de savoir si vous enfreignez ou non la règle. Si je conduis à 51 kilomètres à l'heure, j'ai enfreint la loi. Si un membre des forces de l'ordre m'arrête, je ne peux pas dire : « Monsieur l'agent, madame l'agente, il n'y avait personne. Je ne suis pas dans une zone scolaire. J'ai vérifié mes freins. Ils fonctionnent. » Si je roule à 51 kilomètres à l'heure, j'ai enfreint la loi. Il appartient à l'agent ou à l'agente de police de décider de me remettre une contravention ou non. Comparez cela à une loi qui dirait quelque chose comme « circulez raisonnablement en toute sécurité sur la rue Yonge ». C'est une norme. Dans un tel cas, le contexte est important. La question n'est pas abordée sous un angle binaire, c'est-à-dire si l'on a enfreint ou non la loi. Le contexte est important. Ensuite, on se demande si vous avez conduit raisonnablement en toute sécurité. « Eh bien, il n'y avait personne. Ce n'est pas l'heure de pointe. Je ne suis pas à proximité d'une zone scolaire. Il n'y a pas de piétons aux alentours. » Ces renseignements contextuels aident à déterminer si vous avez enfreint la loi ou non.
Dans quel contexte souhaiteriez-vous une règle plutôt qu'une norme? Les règles sont utiles dans les contextes où l'on dispose d'informations parfaites. Par exemple, nous savons tout ce qui peut se produire sur la route. Nous savons qu'il est plus dangereux de rouler à 70 kilomètres à l'heure qu'à 50 kilomètres à l'heure. Nous ne voulons pas non plus que les gens fassent des choix moraux discrétionnaires chaque fois qu'ils conduisent une voiture. Nous ne voulons pas que les gens déterminent ce qui constitue une sécurité raisonnable dans leur esprit lorsqu'ils conduisent une voiture, car les rues se transformeraient en chaos total. En outre, et c'est important, nous voulons que les choses soient prévisibles. Je veux pouvoir dire que Google Maps a prévu que j'arriverais dans 20 minutes et que c'est une estimation réelle à laquelle je peux me fier. Nous essayons donc d'établir une règle précise dans ce type de contexte.
À quoi servent les normes? Les normes s'appliquent dans des circonstances où nous ne pouvons pas prévoir exactement toutes les différentes situations où la règle pourrait être utile. Pensez au moment où vous vous insérez dans une voie de circulation. Dans de tels cas, les gens disent de procéder de manière raisonnablement sécuritaire. Insérez-vous dans une voie de circulation lorsqu'il est sécuritaire de le faire. Pourquoi faisons-nous cela? Pour le dire de la manière la plus intellectuelle possible, l'activité sociale est hétérogène. Toutes sortes de circonstances peuvent survenir et vous amener à décider de vous insérer ou non dans une voie de circulation. Il se peut qu'une voiture arrive à vive allure. Il se peut qu'une autre voiture change de voie. Il se peut que quelqu'un derrière vous appuie sur le klaxon. Il se peut qu'il y ait un camion et que vous ayez des inquiétudes quant à sa distance de freinage. La loi vous confère donc un pouvoir discrétionnaire parce qu'elle reconnaît qu'elle ne peut pas anticiper toutes les circonstances possibles.
Ainsi, lorsqu'il s'agit de réglementer l'IA, nous avons tendance à préférer les normes. Pourquoi? Parce que nous ne pouvons pas imaginer toutes les situations possibles dans lesquelles nous pourrions avoir besoin d'une loi sur l'IA et où une telle loi pourrait être utile. Nous ne pouvons même pas anticiper le type de technologie à venir. Nous nous retrouvons donc avec des normes générales telles que construire de manière responsable, construire de manière sûre, être responsable ou faire preuve de transparence. Ensuite, nous nous attendons à ce que les gens utilisent leur pouvoir discrétionnaire et prennent des décisions. Nous partons donc d'une réglementation fondée sur des principes. Au fil du temps, les tribunaux préciseront les contours de cette norme. Il ne s'agit pas seulement de dire que vous pouvez vous insérer dans une voie de circulation à tout moment. Nous savons que vous risquez d'obtenir une contravention ou même faire l'objet d'une arrestation si vous vous insérez dans une voie de circulation dans des circonstances X par rapport à des circonstances Y. Ainsi, au fil du temps, nous intégrons un certain contenu dans les lois. L'espoir, pour la réglementation en matière d'IA est que nous puissions commencer par des principes généraux parce que nous ne pouvons pas prévoir toutes les circonstances sociales dans lesquelles nous pourrions en avoir besoin, puis que nous finissons par essayer d'en préciser le contenu ultérieurement.
Les normes ont tendance à avoir une durée de vie plus longue, car même si les conditions sociales qui les sous-tendent changent, elles ne deviennent pas soudainement inutiles. Elles peuvent devenir flexibles et s'adapter, alors que les règles ont une durée de vie plus courte. Imaginez que nous créions une loi sur l'IA qui soit très spécifique et qui indique quand vous pouvez utiliser Chat GPT ou quand vous pouvez utiliser NotebookLM ou qu'elle précise exactement les circonstances, ou encore qu'elle comporte des dispositions sur l'IA générative par rapport à l'apprentissage automatique; nous ferions des paris sur les technologies qui sont susceptibles d'avoir une longue durée de vie.
[00:18:50 Une diapositive intitulée « Projet de loi C-27 » est affichée. Un cercle contenant l'acronyme « LPRPDE » est barré à côté d'une flèche pointant vers un autre cercle contenant la « Loi sur la protection des renseignements personnels des consommateurs » à côté d'un signe plus, ainsi que vers deux autres cercles contenant respectivement la « Loi sur le Tribunal de la protection des renseignements personnels et des données » et la « Loi sur l'intelligence artificielle et les données ».]
Il s'agit donc nécessairement d'une question de principes fondamentaux que j'aimerais que tout le monde comprenne. Nécessairement, la réglementation en matière d'IA sera moins spécifique, en partie parce que nous essayons de composer avec des circonstances sociales incertaines qui n'ont pas encore émergé. Il s'agit là de l'une des principales critiques formulées à l'égard de la Loi sur l'intelligence artificielle et les données lorsqu'elle a vu le jour. Les gens ont dit qu'elle était squelettique et qu'elle ne remédiait pas à grand-chose. La réponse a été en grande partie de dire que nous pourrons apporter des précisions au fur et à mesure que les conditions sociales évolueront. En effet, si nous avions essayé d'élaborer une loi sur l'IA il y a cinq ans, celle-ci aurait été axée de façon excessive sur l'apprentissage automatique, car c'était le type prédominant de technologie d'IA que nous étions en train de construire et de développer à ce moment. En novembre 2022, lorsque l'IA générative est devenue la norme, cette loi sur l'IA n'aurait servi à rien.
Et comme nous ne disposons pas d'un système législatif qui se met automatiquement à jour, il est nécessaire d'élaborer quelque chose qui puisse durer. Ainsi, l'une des principales raisons pour lesquelles la réglementation en matière d'IA n'a pas été satisfaisante pour les gens est en partie due au fait qu'elle n'est nécessairement pas assez spécifique et qu'elle est trop inclusive. Malgré cela, le Canada n'a pas été en mesure d'adopter la Loi sur l'intelligence artificielle et les données, en partie parce que lorsque le gouvernement a été prorogé, avant les dernières élections fédérales, le projet de loi a été abandonné en commission; il n'avait pas encore reçu la sanction royale.
La question est donc de savoir dans quelle mesure la Loi sur l'intelligence artificielle et les données sera réintroduite. Je tiens à préciser que l'absence de législation générale sur l'IA ne signifie pas qu'il ne peut y avoir d'autres lois qui traitent de l'IA. Dans certaines circonstances, on peut considérer que nos lois sur la protection de la vie privée concernent effectivement l'IA, car elles régissent le type de données et les circonstances dans lesquelles les entreprises d'IA peuvent utiliser, traiter et divulguer les données. On pourrait dire que notre droit de la responsabilité civile délictuelle, qui relève davantage de la common law ou du droit constitutionnel, impose des contraintes externes pour l'IA parce qu'il définit les conditions dans lesquelles la responsabilité des développeurs d'IA peut être engagée. Il y a donc une façon dont le reste de la loi aborde l'IA et agit comme un organisme de réglementation parallèle. Mais nous ne disposons pas de législation générale. Par ailleurs, nous n'avons pas vraiment ce qu'on pourrait appeler une réglementation omniprésente en matière d'IA. L'un des moyens d'y parvenir est donc de disposer d'une loi générale sur l'IA, comme la Loi sur l'intelligence artificielle et les données ou la Loi sur l'IA adoptée par l'Union européenne. Une autre façon de procéder consiste à modifier un ensemble de lois propres à un domaine pour y inclure des dispositions relatives à l'IA.
Si vous regardez le projet de loi C-2, qui est maintenant le projet de loi C-12, le projet de loi sur la sécurité des frontières proposé par le gouvernement, sans faire de commentaires sur le projet de loi lui-même, c'est un projet de loi omnibus qui fait plusieurs choses. Il modifie un certain nombre de textes législatifs. Il modifie la Loi sur les douanes, la Loi sur l'immigration et la protection des réfugiés et le Code criminel, reconnaissant que celles-ci devraient toutes dire quelque chose sur la théorie du gouvernement concernant les frontières.
Imaginons donc qu'au lieu d'une Loi sur l'intelligence artificielle et les données qui pourrait être adoptée à l'avenir, un texte législatif – un effort réglementaire dispersé qui modifie le droit bancaire, le Code criminel et le code des impôts – inclue des dispositions relatives à l'IA de manière à ce que la réglementation soit plus omniprésente. C'est un modèle qui est envisagé dans certaines administrations, mais qui n'a pas encore été mis en œuvre de manière efficace.
Le droit traditionnel s'intéresse à l'IA pour essayer de dire des choses sur l'IA, mais il le fait parfois par le biais d'analogies maladroites. Les étudiant·es démontrent toujours un grand intérêt lorsque je leur explique la façon dont nous établissons des analogies dans un contexte juridique. L'exemple célèbre aux États-Unis, qui illustre en partie pourquoi la loi sur les perquisitions et saisies, la capacité du gouvernement de fouiller votre téléphone, par exemple, dépend beaucoup d'une analogie.
Par exemple, votre téléphone ressemble-t-il davantage à une poubelle ou à un porte‑documents? L'idée est que vous n'avez aucune attente raisonnable en matière de vie privée lorsqu'il s'agit d'une poubelle. Pourquoi? Parce que ce qui s'y trouve a été jeté. Vous ne faites donc pas d'efforts pour le protéger. Si votre téléphone n'est pas verrouillé, il s'apparente davantage à une poubelle. Si vous utilisez un code pour verrouiller votre téléphone, celui-ci s'apparente davantage à un porte-documents, ce qui signifie que vous avez des attentes raisonnables en matière de respect de la vie privée parce qu'il renferme vos effets personnels. C'est une analogie maladroite qui était utilisée pour tenter de déterminer ce qui représente une arrestation conforme à la constitution et une arrestation qui enfreint les principes constitutionnels. Ainsi, une grande partie du droit tente d'établir des analogies avec l'ancienne jurisprudence pour essayer de s'adapter aux contextes modernes. Ce que nous faisons actuellement, c'est d'essayer d'établir une analogie. Nous essayons d'imaginer qu'une loi concernant les chevaux et les charriots puisse réglementer la sécurité routière. C'est ce que nous faisons actuellement dans le contexte de l'IA. Ce n'est donc qu'une question de temps avant que l'utilisation de ces analogies ne conviennent plus et que nous ayons besoin d'une législation plus précise. Mais la loi s'intéresse de plus en plus à l'IA. Il n'existe pas de règle générale en matière d'IA, ni de réglementation omniprésente dans ce domaine.
[00:23:32 Un petit triangle jaune avec un point d'exclamation s'affiche sur la diapositive, accompagné de la mention « non en vigueur ».]
[00:23:34 Une diapositive intitulée « Code de conduite volontaire visant un développement et une gestion responsables des systèmes d'IA générative avancés
De : Innovation, Sciences et Développement économique Canada » est affichée en anglais et ensuite en français.]
Cela signifie-t-il que l'IA n'est absolument pas réglementée? Pas tout à fait. Il y a d'autres éléments qui exercent des pressions sur le développement éthique de l'IA. Et certains d'entre eux sont des codes facultatifs. Par exemple, le gouvernement du Canada s'est doté d'un « Code de conduite volontaire visant un développement et une gestion responsables des systèmes d'IA générative avancés ». Il s'agit d'un cadre à l'intention des développeurs qui a été lancé en septembre 2023, soit environ un an après que l'IA générative soit devenue la forme la plus populaire d'intelligence artificielle. Les signataires doivent adhérer à un ensemble de principes positifs en matière de responsabilité, de transparence, garantir que les données ont une provenance adéquate, etc. Ainsi, la participation à ces cadres facultatifs a quelque peu augmenté et, comme je l'ai dit, cela a créé une certaine pression à la hausse sur ce que l'on pourrait appeler la conformité.
Et la vérité, c'est que c'est parfois très bien ainsi. Qu'est-ce que j'entends par cela? Si nous dépendions des lois sur la protection de la vie privée pour garantir le respect de notre vie privée, nous aurions probablement moins de garanties que nous n'en avons en ce moment. Pourquoi? Parce que les lois sur la protection de la vie privée énoncent un ensemble de conditions minimales. Mais la politique de confidentialité moyenne, même dans le cas d'une entreprise en laquelle vous n'avez pas nécessairement confiance, offre probablement des garanties plus solides que le minimum imposé par les lois sur la protection de la vie privée. La raison est la pression à la hausse exercée par la concurrence et les attentes des consommateurs. Il existe parfois des pratiques exemplaires auxquelles les entreprises tentent de se conformer. Donc ce n'est pas comme si la loi allait toujours définir les normes maximales. Parfois, il s'agit simplement d'articuler ou d'établir le seuil. Ces codes facultatifs ont donc une certaine utilité. D'autre part, une grande partie de cette utilité est liée à ce que l'on pourrait appeler les normes industrielles ou les certifications professionnelles.
[00:25:35 Une diapositive affiche la liste suivante en anglais et ensuite en français :
ISO/IEC 22989
Technologies de l'information – Intelligence artificielle – Concepts et terminologie de l'intelligence artificielle
Publié en 2022 CHF 0
ISO/IEC 42005
Technologies de l'information – Intelligence artificielle (IA) – Évaluation de l'impact des systèmes d'IA
Publié en 2025 CHF 177
ISO/IEC 23894
Technologies de l'information – Intelligence artificielle – Conseils en matière de gestion des risques
Publié en 2023 CHF 132
ISO/IEC 42001
Technologies de l'information – Intelligence artificielle – Système de gestion
Publié en 2023 CHF 199
ISO/IEC 42006
Technologies de l'information – Intelligence artificielle – Exigences relatives aux organismes procédant à l'audit et à la certification des systèmes de gestion de l'intelligence artificielle
Publié en 2025 CHF 155
ISO/IEC 38507
Technologies de l'information – Gouvernance informatique – Implications de l'utilisation de l'intelligence artificielle par les organisations en matière de gouvernance
Publié en 2022 CHF 155 »]
Certains d'entre vous connaissent l'ISO, l'Organisation internationale de normalisation, qui présente un ensemble de mesures et de normes relatives à l'intelligence artificielle et au développement responsable de l'IA, et plus particulièrement certaines lignes directrices relatives aux technologies de l'information qui deviennent de plus en plus des normes industrielles ou qui servent de modèle à ce que l'on observe dans l'industrie. Donc, même si une personne ne souhaite pas nécessairement mettre en place un programme de conformité en matière d'IA qui soit le plus éthique possible, ce qu'elle fait souvent, c'est de s'appuyer sur un cadre d'IA déjà préfiguré et de l'adopter par la suite de façon globale.
C'est ainsi que nous avons commencé à avoir des contrats types dans à peu près tous les domaines de la vie et que nous avons assisté à une prolifération d'ententes types que les gens ont ensuite commencé à adopter. C'est ce qui se passe un peu dans le domaine de l'IA : vous savez ce qui vous permettra de réduire vos risques, c'est-à-dire l'utilisation du matériel ISO ou l'adhésion au cadre volontaire. Ainsi, nous commençons presque automatiquement à élever le niveau d'une manière qui sera bénéfique. Je tiens toutefois à préciser que la Loi sur l'intelligence artificielle et les données, qui est actuellement inappliquée, pourrait refaire surface de manière significative. Toutefois, on peut se demander si le Canada est bien placé pour se doter d'une réglementation rigoureuse en matière d'IA.
Cela s'explique en partie par le fait que le Canada est parfois pris entre le marteau et l'enclume. Je ne parle qu'en mon nom, mais les États-Unis sont nos voisins et ils n'ont pas de réglementation en matière d'IA. L'an dernier, j'enseignais la gouvernance des données et les lois sur l'IA aux États-Unis, et des étudiant·es m'ont demandé quand les États-Unis allaient adopter une réglementation en matière d'IA. J'ai répondu qu'ils ne le feront probablement jamais. Cela s'explique en partie par le fait que le pays ne dispose même pas d'une loi fédérale sur la protection de la vie privée. Les États-Unis se sont dotés de lois très précises en la matière, comme la Health Insurance Portability and Accountability Act (HIPAA), et certains principes constitutionnels portent sur la protection de la vie privée, mais ils n'ont pas de loi fédérale dans ce domaine. Le Canada dispose de la Loi sur la protection des renseignements personnels sur la santé (LPRPS) et de la Loi sur la protection des renseignements personnels; il n'y a pas d'équivalent aux États-Unis. Si l'on regarde les pays qui disposent d'une réglementation en matière d'IA, ils s'appuient sur leurs institutions chargées de la protection de la vie privée. La Loi sur l'IA adoptée par l'Union européenne dépend beaucoup du Règlement général sur la protection des données (RGPD), qui est la loi de l'UE sur la protection de la vie privée.
Il semble donc que l'IA ne sera pas réglementée au niveau fédéral aux États-Unis, soit le niveau qui réglemente les activités des grandes multinationales spécialisées dans la technologie. Le Canada est un pays de 40 millions d'habitants, et de nombreuses entreprises technologiques se développent en vue de faire des affaires sur les marchés extérieurs, souvent aux États-Unis. Cela est particulièrement le cas pour les plus grandes entreprises. On peut donc se demander s'il ne serait pas trop onéreux d'avoir des réglementations plus strictes que celles des États-Unis pour les entreprises canadiennes qui veulent vendre sur le marché américain, car elles pourraient être soumises à une double imposition, entre guillemets. C'est une préoccupation. Mais il y a aussi la tendance inverse qui émane de l'Union européenne. L'UE a adopté la Loi sur l'IA, et la structure même de l'UE comporte certains avantages. Par exemple, l'UE est une institution supranationale, ce qui signifie qu'elle peut imposer des obligations à ses États membres. Chaque État membre doit s'y conformer afin de pouvoir faire des affaires avec les autres États membres. Mais les décisions de l'UE ont également une grande portée. Par exemple, nous avons adopté des lois de protection de la vie privée en partie parce que l'Union européenne a insisté pour que nous le fassions. En effet, lorsque l'UE a adopté sa propre loi sur la protection de la vie privée, elle a stipulé que les États membres et les entreprises sur son territoire pouvaient uniquement transférer des données vers des pays offrant une équivalente en matière de protection des données.
Le reste du monde s'est alors dit : « Passons à la vitesse supérieure si nous voulons pouvoir faire des affaires en Europe ». Cela peut donc avoir joué un rôle. L'Union européenne, qui a une grande portée, a contribué au rehaussement des normes. Même si je ne suis pas certain que ce sera la même chose, je parie que nous aurons quelque chose qui ressemblera à la Loi sur l'intelligence artificielle et les données, et que ce sera dans la même veine. Mais d'ici là, nous devons partir du principe qu'il n'existe pas de réglementation significative en matière d'IA.
Par ailleurs, presque tous ces outils de réglementation générale en matière d'IA mettent l'accent sur ce qu'on appelle les systèmes d'IA à incidence élevée, ce qui signifie que l'application de productivité que vous utilisez au bureau et que les divers types de solutions d'entreprise que nous utilisons sont très susceptibles d'échapper à l'attention des organismes de réglementation, même dans le meilleur des cas. Pourquoi? Qu'est‑ce qui intéresse le gouvernement? Il veut s'assurer qu'il n'y a pas d'effets sociaux importants ou d'effets sur la population lors de la conception d'outils d'IA. Il se concentre sur les éléments importants susceptibles d'engendrer le plus de risques. En raison du problème qui caractérise la règle standard, j'ai parlé plus tôt du risque de trop préciser et du fait qu'on ne peut pas prétendre envisager toutes les applications de l'IA à l'échelle locale.
D'un point de vue structurel, une grande partie de l'IA restera toujours non réglementée, en raison des cas d'utilisation restreints et fragmentés. C'est un défi que j'aimerais aborder dans la période de questions et réponses. Vanessa, combien de temps me reste-t-il?
Vanessa Vermette : Il vous reste environ deux minutes.
[00:31:05 Une diapositive montre des cases contenant les expressions « collecte d'informations », « traitement des informations » et « diffusion des informations », avec des flèches pointant vers une sphère centrale où figure le terme « vie privée ».]
[00:31:07 Une diapositive intitulée « lois sur la protection des renseignements personnels au Canada » s'affiche et montre deux diagrammes de Venn séparés par un signe plus (+). Le premier diagramme de Venn montre l'intersection entre « fédéral », « provincial » et « sectoriel/spécifique ». Le deuxième montre l'intersection du « droit de la responsabilité délictuelle » et du « droit constitutionnel ».]
[00:31:08 Une diapositive en anglais et ensuite en français intitulée « Loi sur l'IA de l'Union européenne ». Un triangle est présenté, énumérant les types de risques, avec « Risque minimal – Code de conduite » formant la base du triangle et augmentant avec « Risque limité – transparence », « Haut risque – évaluation de conformité » et « Risque Inacceptable – Interdit »]
Abdi Aidid : D'accord, j'ai deux minutes. Je vais prendre un instant pour parler de la loi sur l'intelligence artificielle adoptée par l'Union européenne. Il me semble très important qu'on en parle, pour la construction d'une partie de notre discussion. J'ai parlé tout à l'heure de l'idée d'une règle standard et des modèles de réglementation qui permettent d'avoir des lois générales ou des projets de loi omnibus qui pourraient modifier différentes lois afin qu'il y ait des règlements plus près de la réalité sur le terrain. Par exemple, s'il y avait une loi générale sur l'IA, elle n'envisagerait pas nécessairement la façon dont vous devriez utiliser l'IA dans un contexte d'administration fiscale ou de services fiscaux professionnels, alors que si vous modifiiez la Loi de l'impôt sur le revenu pour inclure certaines dispositions sur l'IA, vous feriez mieux de vous attaquer à ce qui compte réellement. C'est un modèle. Nous semblons préférer le modèle de la législation générale. L'Union européenne préfère le modèle de législation générale et la Loi sur l'IA.
Mais plutôt que de faire ce que nous essayons de faire partout dans le monde, c'est‑à‑dire essayer d'élaborer une loi qui sera utile dans tous ces contextes, l'Union européenne l'a fait en se basant sur ce qu'on appelle un modèle de réglementation du risque, où elle procède principalement à partir du risque. Imaginez donc un exercice législatif dans lequel vous imaginez toutes les mauvaises choses qui pourraient se produire, puis élaborez un système basé sur les risques pour tenter de les atténuer. L'UE a donc créé un système de risque à plusieurs niveaux. Elle a dit, en substance, que tout ne la concernait pas nécessairement. En même temps, elle veut s'assurer que les enjeux importants n'échappent pas à son attention.
Elle s'est donc dit qu'il fallait moduler le niveau de surveillance en fonction du degré de risque. Elle a créé une structure à plusieurs niveaux, dans laquelle certaines catégories de technologies d'intelligence artificielle présentent un risque minimal. Il s'agit de vos applications d'entreprise, de vos applications d'entreprise locales, par exemple, pour lesquelles un code de conduite est suffisant; elle veut essentiellement que vous adhériez à des normes conformes à la loi sur l'IA et cela suffit. Il y a ensuite les utilisations dites à risque limité, qui peuvent s'appliquer à certains environnements sensibles ou à un plus grand bassin de population. Et pour cela, il faut non seulement un code de conduite, mais aussi de la transparence. Par exemple, vous pourriez être en mesure de produire quelque chose concernant le code source ou les données sous‑jacentes, de fournir certaines informations et de divulguer libéralement certaines informations au public. Au-dessus, il y a des outils que nous considérons comme présentant un risque élevé. Ce sont ceux qui sont habituellement utilisés dans des domaines tels que la santé, la sécurité publique, le crédit et les services financiers, où nous estimons qu'il y a une forte probabilité de préjudices et un risque important de conséquences à l'échelle de la population. C'est dans ce type de domaines que les préjugés et la discrimination constituent les enjeux les plus préoccupants. Dans ces contextes, il faut non seulement disposer de codes de conduite et assurer une transparence, mais aussi procéder à une évaluation de la conformité. En d'autres termes, vous devez déclarer et garantir préalablement que la technologie est conforme à certaines exigences de la Loi sur l'IA. Il existe également une catégorie de risques inacceptables, qui sont en soi interdits. Cette catégorie supérieure comprend des éléments tels que la reconnaissance faciale dans le domaine public. Donc, si vous essayez de créer un outil permettant de repérer les visages des gens dans un centre commercial et de comparer ceux-ci à l'aide d'une base de données privée, vous ne pouvez tout simplement pas le faire.
Ce qui est intéressant ici, c'est que l'on dit que l'on dispose de ressources limitées et que l'attention des organismes de réglementation est divisée. Assurons-nous donc que la réglementation soit étalonnée de façon à ce qu'elle puisse se concentrer sur l'activité qui engendre le plus de préjudices. C'est un modèle intéressant auquel il convient de réfléchir, non seulement parce qu'il s'agit d'une approche que nous pourrions adopter au Canada, mais aussi parce qu'il s'agit de la façon dont vous pourriez envisager les cadres d'utilisation de l'IA au niveau interne, voire dans votre environnement de travail. Il ne faut peut-être pas se concentrer autant sur les gens qui utilisent l'IA à des fins de correction orthographique que ceux qui en font un usage plus susceptible d'engendrer un risque de préjudice, comme la communication externe, par exemple. Je m'arrêterai donc là et j'espère avoir l'occasion d'échanger avec vous.
Vanessa Vermette : Merci beaucoup, Abdi, pour ces excellentes explications. Je vais inviter toutes les personnes qui sont en ligne. Je vous rappelle que vous pouvez soumettre vos questions à Abdi en utilisant l'icône de bulle dans le haut de la fenêtre de webdiffusion. Mais en attendant, reprenons peut-être là où vous venez de vous arrêter en ce qui concerne l'équilibre entre l'innovation et la responsabilité au sein de la fonction publique. Lorsque nous parlons d'innovation et de responsabilité, comment les institutions gouvernementales peuvent-elles encourager le progrès sans compromettre l'équité, la transparence, la qualité et tous les autres résultats que nous cherchons à obtenir?
Abdi Aidid : Je suis d'avis qu'il faut réfléchir aux déploiements d'IA qui sont les plus délicats. Pendant un certain temps, il convient de les mettre de côté et de trouver des moyens de procéder à une validation de principe dans des contextes moins délicats et comportant moins de risques. Je vais vous donner un exemple, qui ne touche pas le Canada. Partout dans le monde, les gens conçoivent l'IA comme un outil qui aide à résoudre des problèmes de traitement, alors ils finissent par la déployer dans des environnements et des contextes où il y a par exemple des arriérés de demandes, et ces situations finissent souvent par être parmi les plus délicates sur le plan social. Il suffit de penser aux demandes présentées à la Commission de l'immigration et du statut de réfugié.
Donc, les gens cernent un problème, constatent que l'IA dispose d'une puissance de calcul, d'un point de vue privilégié et qu'elle pourrait synthétiser de grands volumes de données. Toutefois, ils ne se rendent pas compte qu'il existe en réalité un risque asymétrique, car même si l'IA est performante dans ces domaines, le type d'erreurs qu'elle pourrait générer constitue un risque que nous ne pouvons pas tolérer dans ce contexte.
Cela ne veut pas dire qu'il ne faut pas utiliser l'IA dans ces contextes, cela veut simplement dire que ce type de déploiement ne comporte pas de faibles risques. Et que ce ne devrait pas nécessairement être le premier type de déploiement. Il convient donc de réfléchir aux possibilités qui s'offrent à vous d'acquérir de l'expérience en matière d'IA là où il y a déjà peut-être un niveau d'examen supplémentaire et où l'investissement public dans le résultat est moins important. Parce que vous voulez en arriver là. Et vous verrez que ces possibilités sont nombreuses. Ainsi, vous allez acquérir rapidement de l'expérience en matière d'IA, de sorte que vous pourrez réellement atteindre (inaudible) en toute confiance et éventuellement déployer cette technologie dans des environnements qui sont un peu plus complexes.
Vanessa Vermette : C'est un excellent conseil. Merci beaucoup.
Abdi Aidid : Une autre chose, si je peux me permettre. J'ajouterai que vous devez également évaluer la qualité de vos données. Il y a donc un tout autre défi à relever en ce qui concerne les données. C'est comme l'essence dans une voiture : plus vous en avez, plus vous pouvez rouler vite ou plus vous pouvez parcourir de distance. Ainsi, si vous êtes dans une situation où vous n'avez presque plus d'essence, vous devriez peut-être envisager de garer votre voiture. Vous devrez évaluer la maturité et la qualité de vos données, déterminer si elles sont structurées ou non, si elles ont besoin d'être nettoyées; ce sont là des conditions préalables à tout déploiement risqué.
Vanessa Vermette : Oui, j'aime toujours penser que si nous ne le faisons pas, nous commettrons des erreurs plus rapidement.
Abdi Aidid : (Inaudible)
Vanessa Vermette : Nous commençons à recevoir des questions. Je vais me tourner vers nos participant·es. La première question est : « L'intelligence artificielle évolue rapidement. Pensez-vous que la réglementation puisse suivre le rythme de l'innovation? Pouvons-nous espérer que ce soit le cas? »
Abdi Aidid : C'est la raison pour laquelle j'ai parlé des règles et des normes, car les normes ont ce que j'appellerais une fonction de mise à jour automatique intégrée, dû au fait qu'elles ont une portée suffisamment large pour s'adapter à des circonstances différentes. Le problème se présente lorsqu'elles deviennent si générales qu'elles n'ont plus de sens, comme lorsqu'une personne vous dit « comportez-vous bien » ou « faites preuve de transparence »; qu'est-ce que cela signifie exactement?
Je pense que nous devrions peut-être faire quelque chose de très différent de la législation traditionnelle en ce qui concerne l'intelligence artificielle, et que nous devrions réfléchir à des moyens de réglementer de manière plus dynamique. Imaginez un futur – et on peut se projeter dans l'univers de la science-fiction – où les limites de vitesse sur les routes ne correspondent pas à des chiffres affichés sur un panneau, mais sont en fait dynamiques. Vous auriez un écran qui proposerait une limitation de vitesse dynamique en fonction de l'heure de la journée ou qui se baserait sur des données de circulation et sur la compréhension de la sécurité optimale ou de la vitesse optimale pour garantir la sécurité.
Il y a de nombreux moments sur la rue Yonge où 50 kilomètres à l'heure, c'est trop rapide, et à d'autres moments où c'est trop lent. L'outil pourrait intégrer l'ensemble des données sur la sécurité, la circulation, la population, le nombre de piétons et vous donner une limite de vitesse dynamique. Je ne sais pas si je serais en faveur de cela, mais l'idée ici est qu'il y a des façons d'utiliser la technologie, l'avènement des mégadonnées et leur prolifération, et notre propre synthèse de données et d'informations pour éclairer ce que les normes applicables pourraient être à un moment donné. Je pense qu'il y a là un potentiel intéressant. Mais, cela est dans le futur. Si nous ne pouvons pas faire cela, alors peut-être devrions-nous mettre davantage à contribution les développeurs d'IA et leur demander de nous montrer préalablement leur travail.
L'idée est peut-être d'énoncer de grands principes, mais la réalité est que nous réglementons en déléguant : voici un principe, vous y adhérez en développant un programme de conformité et vous nous montrez votre travail. Montrez-nous ce que vous faites pour représenter et garantir la sécurité des personnes et essayer de créer une course vers le haut plutôt que vers le bas, car vous ne voulez pas que les gens jouent à la loterie de la vérification.
La loterie de la vérification consiste à tenter sa chance parce que l'on sait que la surveillance réglementaire est rare ou que le temps et les efforts des organismes de réglementation sont partagés. Il y a beaucoup de gens qui lisent des articles sur la surcharge de l'ARC et qui jouent ensuite à des jeux fiscaux. Vous ne voulez pas encourager ce genre de comportement.
Vanessa Vermette : Tout à fait. Il ne faut pas que la loterie de la vérification devienne simplement un coût d'exploitation. D'accord. J'ai une autre question pour vous, cette fois-ci au sujet de la confiance. La confiance est un thème récurrent dans nos conversations sur l'intelligence artificielle. D'après certains sondages réalisés au cours des derniers mois, un nombre assez élevé de Canadien·nes affichent une confiance très relative en ce qui a trait à l'intelligence artificielle.
Alors, que peuvent faire les gouvernements pour rendre leur propre utilisation de l'IA plus transparente et compréhensible et, par conséquent, digne de la confiance du public canadien?
Abdi Aidid : Permettez-moi de dire une chose sur la confiance en général. Les étudiant·es me posent des questions. Disons que de nombreuses personnes qui appartiennent à la génération qui nous suit n'ont confiance en rien, mais ce sont aussi des nihilistes en ce qui a trait à la vie privée. Par exemple, en droit, nous avons des concepts comme la norme de l'attente raisonnable en matière de vie privée. Qu'en est-il des personnes qui n'ont pas d'attente quant au respect de leur vie privée?
Donc ces personnes n'ont pas confiance en plusieurs choses, mais elles acceptent également que l'on porte atteinte à leur liberté et à leur vie privée, par exemple. La confiance n'est donc pas tout. Il est important de faire confiance, d'utiliser des outils en lesquels vous avez confiance, mais il est également important de bien savoir ce que l'on peut tolérer et ce que l'on ne doit pas tolérer. D'autre part, la confiance s'inscrit dans un contexte culturel et elle est somme toute relative. Je vais expliquer ce que j'entends par là. Lorsque Chat GPT a été lancé, de nombreuses personnes ont paniqué à l'idée que cet outil n'était pas sécuritaire; elles craignaient que les données qu'elles y avaient introduites ne soient un jour divulguées, utilisées pour former le modèle ou utilisées à d'autres fins pernicieuses. Et ces mêmes personnes utilisent en toute confiance Outlook, Gmail et d'autres applications semblables. Je l'ai toujours signalé, non pas pour dire qu'il faut faire confiance à Chat GPT de manière inconditionnelle, mais pour dire que toutes ces applications comportent certains risques. Un outil tel que Chat GPT ne pose pas de problème de sécurité plus important que les applications traditionnelles que vous utilisez de façon plutôt libérale.
Ce que je dis, c'est peut-être que nous devrions moins nous fier à tout cela. Le fait est que la familiarité est parfois synonyme de confiance, et je souhaite que les gens exercent une plus grande vigilance. Il ne faut pas seulement penser que quelque chose est digne de confiance parce que c'est familier, mais aussi examiner attentivement les conditions générales d'utilisation, surtout dans le contexte de la fonction publique. Si vous devez utiliser un outil offert par un fournisseur ou un outil que vous trouvez dans un navigateur gratuit, examinez attentivement les conditions générales d'utilisation. Elles sont rédigées dans un langage de plus en plus accessible à chacun·e d'entre nous. Et il ne faut pas laisser la confiance se transformer en familiarité. Nous devons faire en sorte qu'elle soit davantage fondée sur des principes.
Pour ce qui est de la façon dont nous pouvons encourager le public à faire davantage confiance à l'IA, je pense qu'il faut réduire l'incidence des histoires d'horreur. Je pense que les gens entendent des récits négatifs et que ceux-ci prennent une grande place dans leur cerveau. Les hallucinations en sont un bon exemple. Certaines personnes sont obsédées par l'hallucination d'IA. En droit, il arrive que des avocats soumettent à des tribunaux des affaires qui sont liées à de telles hallucinations parce qu'elles sont issues de Chat GPT. Aujourd'hui, l'ensemble de la profession juridique est obsédée par cette question, et nous organisons des conférences et des formations sur la manière de mettre fin aux hallucinations. Et les hallucinations ne sont pas le problème immuable de la loi, en partie parce qu'en fait tout le monde travaille ensemble pour réduire leur incidence, que ce soit les personnes les plus malveillantes du monde ou les personnes les plus intelligentes du monde. De nombreuses personnes essaient aussi de rendre les hypertrucages plus trompeurs. C'est un problème plus important pour nous.
Mais en raison de l'ampleur des histoires d'horreur, nous nous sommes concentrés sur les hallucinations. Tant que nous pourrons réduire l'incidence de ces histoires d'horreur, je pense que les gens pourront respirer tranquillement. C'est donc un défi important pour les technologues, si l'on veut réellement encourager l'adoption de l'IA, car le Canada accuse un certain retard dans ce domaine. Des données récentes ont montré que nous étions les derniers du G7 et de l'OCDE à adopter l'IA au sein des entreprises. Si les technologues veulent vraiment encourager l'adoption de l'intelligence artificielle, alors ils doivent déployer d'importants efforts pour adopter des contraintes en vue de mettre fin à ces histoires d'horreur, parce qu'il ne s'agit pas du caractère brillant ou de la qualité de la technologie, mais plutôt du manque d'utilisation. C'est un manque de confiance. Je pense que le type de pyramide élaboré par l'Union européenne est une bonne façon d'aborder la question.
Vanessa Vermette : Parfait. Voici une autre question qui fait suite à quelque chose que vous avez dit au sujet de notre capacité d'examiner certaines de ces conditions générales d'utilisation. La question est la suivante : « Nous voyons souvent des énoncés sur des forums expliquant comment nos données seront utilisées, par exemple, pour fournir un service. En vertu des lois actuelles, dans quelle mesure les entreprises ont-elles la possibilité d'utiliser ces données à des fins liées à l'IA au-delà des fins initialement prévues? »
Abdi Aidid : À l'heure actuelle, les entreprises disposent d'une grande flexibilité et ce n'est pas pour les motifs que vous imaginez. La LPRPDE empêche les entreprises d'utiliser les données, par exemple, à des fins incompatibles avec l'objectif pour lequel elles les ont recueillies. Mais parfois, elles s'en sortent en vous demandant des informations trop larges, car c'est le consentement qui l'emporte à la fin. Ainsi, si elles vous demandent « Puis-je utiliser toutes vos données? », elles peuvent théoriquement utiliser toutes vos données; il vous suffit de faire preuve de vigilance et de bien définir les limites. Mais là encore, le problème est que bien souvent, vous n'avez pas un choix réel. Supposons qu'il y ait deux services de livraison, qu'ils aient tous les deux les mêmes conditions générales d'utilisation et que vous ayez besoin d'une livraison. Pouvez-vous vraiment vous en passer, vous retirer de tout cela en quelque sorte? Donc, en fait, elles peuvent faire beaucoup de choses, mais il y a un élément qui rend la chose encore plus difficile, et c'est qu'elles n'ont plus besoin de vos données comme par le passé. Nos lois sur la protection de la vie privée sont toutes fondées sur des droits individuels, par exemple, « ne passez pas outre mes droits, ne touchez pas à mes données, n'apprenez pas quoi que ce soit à mon sujet ». Mais en fait, grâce à l'IA et à la capacité de synthétiser de grands volumes de données, les entreprises n'ont plus tant besoin de vos données pour créer une représentation synthétique de votre personnalité et de vos préférences; elles peuvent le faire sur la base d'informations générales et impersonnelles.
Certain·es d'entre vous ont peut-être entendu parler de la célèbre affaire mettant en cause le détaillant américain Target qui envoyait des dépliants au domicile des gens pour faire de la publicité pour de certains produits. Dans cette affaire en particulier, Target avait envoyé des publicités au domicile d'un père et de sa jeune fille adolescente. Le détaillant envoyait essentiellement des produits liés à la grossesse et à la maternité précoce. Il se trouve qu'il a pu prédire la grossesse de l'adolescente. Et beaucoup de gens se sont dit que le détaillant avait été en mesure de prédire sa grossesse en fonction des recherches effectuées sur WebMD au sujet des nausées matinales et ce genre de choses. Ce n'est pas le cas. Les entreprises peuvent aller jusqu'à déterminer qui achète de la lotion pour les mains non parfumée, car l'aversion aux odeurs correspond parfois aux symptômes du premier trimestre. Et ce n'est pas comme si elles avaient besoin de savoir qui est cette personne. Il leur suffit de rapprocher ces informations et habitudes d'achat aux données démographiques, aux données sur les revenus et au nombre d'adolescent·es dans une région, et elles sont en mesure de faire d'assez bonnes suppositions.
Les entreprises savent que le comportement des consommateurs ne change pratiquement jamais, sauf lors d'événements marquants de la vie. Par exemple, les gens ne changent vraiment leurs habitudes d'achat que lorsqu'ils ont des enfants, lorsqu'ils amorcent une nouvelle carrière, lorsqu'ils se divorcent, etc. C'est pourquoi les entreprises investissent dans la prédiction de ces événements de votre vie, et elles peuvent le faire avec une marge d'erreur. Les sociétés émettrices de cartes de crédit sont probablement de meilleurs prédicteurs de divorce que les conseillers en divorce. C'est vrai. Et elles n'effectuent pas toujours leurs prédictions à l'aide de données invasives. En fait, elles sont capables de prendre des éléments de données anodins et de les rapprocher d'une manière qui leur permet d'obtenir des informations utiles. Donc les lois sur la protection de la vie privée régissent vos renseignements personnels. Qu'en est-il du tas d'informations impersonnelles qui me concernent et qui s'additionnent grâce aux nouvelles techniques de science des données? C'est quelque chose que je ne veux pas que vous sachiez. C'est une préoccupation. Nous n'avons aucune règle en la matière.
Vanessa Vermette : Oui.
Abdi Aidid : Et il y a quelqu'un – vous souvenez-vous de Ralph Nader, qui s'est fait connaître lors des élections de 2000 des États-Unis?
Vanessa Vermette : Oui.
Abdi Aidid : Mais avant cela, Ralph Nader était un célèbre défenseur des consommateurs. C'est un peu à cause de lui que les voitures sont soumises à certaines normes de sécurité. C'était un avocat des plaignants qui s'en prenait à GM, Ford et Chrysler, les trois géants de Detroit. Il existe une affaire intitulée « Nader c. GM ». Que s'est-il passé? Les entreprises le considéraient comme une épine dans leur pied et intentaient des poursuites contre lui. Elles faisaient notamment suivre sa voiture. Globalement, il affirmait qu'il s'agissait d'une violation de sa vie privée, ce à quoi les entreprises répondaient qu'il s'agissait de sa voiture et que celle-ci se trouvait dans des lieux publics; il circulait en voiture. Rien de ce que les entreprises faisaient ne touchait la sphère privée. L'argument de Nader, que le tribunal a fini par accepter, était le suivant : « Aucun instantané de ce que je fais ne constitue nécessairement une violation de ma vie privée. Mais l'ensemble des informations que vous recueillez de cette façon raconte une histoire de ma vie que seule une personne qui me traque pourrait connaître. »
Et c'est le défi que nous avons à l'heure actuelle en ce qui concerne la vie privée et l'IA. Nous avons un tas de données anodines qui sont rapprochées avec d'autres données anodines, mais qui s'additionnent pour façonner un récit à votre sujet qui permet aux gens de faire des prédictions sur votre vie et de tirer parti de votre profil pour toutes sortes de choses. Voici une autre chose que je dirai pour conclure. Voici ce qui est fascinant à ce sujet. Rappelez-vous que j'ai dit que l'objectif des lois sur la protection de la vie privée peut se résumer essentiellement à « ne passez pas outre mes droits, n'intervenez pas dans mes affaires, ne me regardez pas ». Maintenant, imaginez ceci. Dans un monde où les décisions sont prises par des algorithmes, j'ai intérêt à ce que vous ayez des données personnelles exactes sur moi. Pourquoi? Parce que vous allez juger de ma solvabilité, de mon crédit, de mon accès à certains produits ou encore me facturer certaines primes d'assurance, sur la base de ces informations générales non spécifiques, alors je préférerais évidemment que vous utilisiez des informations précises à mon sujet, afin que je puisse obtenir ce qui convient. Ainsi, l'ensemble des lois et des droits relatifs à la protection de la vie privée sont totalement inversés. Nous sommes en quelque sorte au cœur d'un paradoxe en matière de protection de la vie privée, et ce, en raison de l'IA.
Vanessa Vermette : Oui, j'ai en quelque sorte l'instinct opposé en ce qui concerne la tarification dynamique. Je ne veux pas que les entreprises sachent qui je suis parce que je veux voir, je veux comparer les prix, décider de me connecter ou non, et utiliser un RPV pour voir comment ça change.
Abdi Aidid : Oui.
Vanessa Vermette : Car c'est quelque chose que je vois de plus en plus.
Abdi Aidid : Tout à fait.
Vanessa Vermette : C'est comme si nous étions déjà dans l'univers de la science‑fiction.
Abdi Aidid : Tout à fait.
Vanessa Vermette : Oui.
Abdi Aidid : Sauf s'ils commencent à regarder votre profil démographique pour établir vos primes d'assurance automobile. Et vous dites : « En fait, je conduis prudemment. »
Vanessa Vermette : Oui.
Abdi Aidid : « J'ai un dossier irréprochable. » Ensuite, vous commencez à vouloir intervenir en fournissant vous-même des renseignements personnels. Imaginez maintenant cela à grande échelle.
Vanessa Vermette : Oui, c'est stupéfiant. Le temps passe très vite et vous avez répondu à ces questions de manière très complète. Vous avez également fourni certains éléments d'information très intéressants que j'aimerais approfondir.
Abdi Aidid : J'irai plus vite.
Vanessa Vermette : Mais nous allons passer à la conclusion. Alors, j'aimerais savoir ce que vous pensez de l'orientation que prend le Canada en ce qui a trait à la réglementation en matière d'IA. Nous dirigeons-nous vers la pyramide dont nous avons parlé ou vers un autre type d'approche sectorielle? Que pensez-vous qu'il se passera ici?
Abdi Aidid : Oui, je pense que nous sommes dans une position privilégiée en ce moment; nous pouvons voir ce qui se passe au sein de l'Union européenne. La phase d'application vient de commencer. Nous allons donc commencer à voir le genre de préjudices liés à l'IA auxquels commence à s'attaquer la Loi sur l'IA de l'Union européenne. Nous verrons si les Européens parviennent à atténuer ces préjudices. Dans l'affirmative, cela prouvera que c'est un modèle à adopter. En fait, je suis de ceux qui croient que la meilleure façon de réglementer l'IA est en quelque sorte à sa racine, d'une façon qui est davantage propre à chaque domaine. Vous devriez avoir des dispositions dans votre loi sur la santé, votre loi fiscale, votre code criminel, etc., parce que vous pouvez alors avoir des règles qui tiennent vraiment compte des conditions sociales qui causent le préjudice.
Il se peut donc que notre style de loi omnibus soit vraiment utile dans ce contexte où nous pourrions avoir l'occasion de réglementer de façon plus généralisée. En fin de compte, le Canada se trouve entre le marteau et l'enclume, entre l'Union européenne, qui est un partenaire important sur le plan culturel et économique et qui veut réglementer davantage, et les États-Unis, qui sont notre principal partenaire commercial et notre voisin géant, qui ne veulent pas du tout réglementer. Je n'imagine pas que ces conditions changeront non plus.
Vanessa Vermette : En ce qui concerne un aspect des préjudices dont nous n'avons pas parlé, mais qui est souvent mentionné par les participant·es à nos conférences, que pensez-vous de l'IA et de ses répercussions sur l'environnement? Comment pouvons‑nous réglementer cela?
Abdi Aidid : Je voudrais dire deux choses à ce sujet. Encore une fois, je pense que les gens me parlent de l'intelligence artificielle générale et du moment où les robots vont prendre la relève. Ce qui me préoccupe le plus, c'est que la planète brûle avant que cela ne se produise. C'est en partie parce que ces technologies exigent des infrastructures physiques profondes. Et je vais dire deux choses très rapidement. La première est ce que j'ai mentionné au sujet de la convergence des intérêts, c'est-à-dire essayer de réduire l'incidence des hallucinations. En fait, tout le monde essaie de réduire la dépendance de l'IA à l'infrastructure physique et à la puissance informatique. La tendance est donc aux modèles plus efficaces et moins exigeants. Contrairement aux énergies renouvelables, par exemple, le secteur s'efforce activement de progresser vers une plus grande efficacité. Et donc, d'une certaine façon, on pourrait même dépasser la réglementation en essayant de réduire notre dépendance à l'infrastructure physique.
Cela dit, nous allons devoir trouver des moyens de répartir le fardeau de façon plus équitable. L'un des grands défis à l'heure actuelle, c'est que les endroits qui sont bien placés pour accueillir des lieux comme des centres de données suivent en quelque sorte la logique selon laquelle les communautés veulent des lieux comme des prisons ou des installations de traitement des eaux usées ou des grandes usines de gestion des déchets. Ce sont souvent les communautés défavorisées qui ont besoin de travail. Et lorsqu'elles sont très exposées à des lieux comme les centres de données, ce sont elles qui en paieront le prix et qui subiront les dommages écologiques locaux. Nous devons donc trouver des moyens de répartir plus équitablement une partie de ces fardeaux, même si cela ne nous aidera pas à résoudre tous les problèmes économiques. Mais c'est un écueil auquel nous devons réfléchir dès maintenant.
Vanessa Vermette : Merci beaucoup. Je pense que nous allons nous arrêter là. C'est à la fois un espoir et un appel à l'action pour nous en tant que fonctionnaires et professionnel·les des politiques ici au Canada. Au nom de l'École de la fonction publique du Canada, merci, Abdi, pour cette conversation. Merci pour votre présentation, votre générosité et d'avoir partagé vos connaissances en réponse aux questions de notre public. Je tiens également à remercier toutes les personnes qui ont participé à la discussion et ont soumis des questions. J'espère sincèrement que vous avez trouvé la conversation inspirante, stimulante et, bien que quelque peu terrifiante, également utile. Je vous encourage toutes et tous à visiter notre site Web, à vous tenir au courant et à vous inscrire à de futures occasions d'apprentissage sur ce sujet et d'autres sujets connexes. Encore une fois, merci. Passez une merveilleuse journée.
[00:56:53 Le logo de l'EFPC s'affiche à l'écran.]
[00:56:58 Le logo du gouvernement du Canada s'affiche à l'écran.]
