Harmoniser la gouvernance mondiale en matière d’IA

Introduction

À une époque où l’intelligence artificielle (ci-après l’« IA ») est de plus en plus intégrée dans tous les aspects de notre vie, le besoin d’adopter un cadre de gouvernance mondial pour garantir son utilisation éthique et responsable n’a jamais été aussi pressant.

Ce sentiment d’urgence est au cœur de la Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle et les droits de l’homme, la démocratie et l’État de droit (ci-après, la « Convention sur l’IA de l’UE »), le premier instrument international juridiquement contraignant sur l’IA.

La Convention sur l’IA de l’UE a été négociée par les 46 États membres du Conseil de l’Europe aux côtés de 11 États non membres (dont les États-Unis et le Canada) et a été ouverte à la signature le 5 septembre 2024, lors d’une conférence des ministres de la Justice en Lituanie.

Plusieurs acteurs non étatiques ont participé aux négociations, dont des représentants de l’UNESCO. La Convention sur l’IA de l’UE est un autre exemple de l’augmentation du cadre législatif entourant l’IA suscitée par les efforts mondiaux visant à concilier les progrès rapides des technologies de l’IA avec la nécessité de protéger les droits de l’homme et de préserver les préceptes fondamentaux de la société.

Objet et portée

À ne pas confondre avec la Loi européenne sur l’intelligence artificielle qui énonce des obligations ciblées pour des acteurs spécifiques de la chaîne de valeur de l’IA qui exercent leurs activités sur le marché de l’UE, la Convention sur l’IA de l’UE est plutôt un instrument international conçu pour aborder le cycle de vie des systèmes d’IA, en particulier ceux qui pourraient interférer avec les droits de l’homme, la démocratie et l’État de droit. Son application est étendue, touchant les secteurs public et privé.

La Convention prévoit notamment certaines exemptions. Les systèmes d’IA liés à la sécurité et à la défense nationales sont exclus de l’application de la Convention sur l’IA de l’UE (une approche également adoptée dans la Loi européenne sur l’intelligence artificielle), tandis que les activités de recherche et de développement sont exemptées à condition qu’elles ne soient pas utilisées d’une manière susceptible d’interférer avec les droits de l’homme.

Exigences et obligations

La Convention sur l’IA de l’UE établit des obligations générales que les pays adhérents doivent intégrer dans leur législation nationale sur l’IA. Elle met l’accent sur des principes généraux plutôt que sur des stratégies d’exécution détaillées, ce qui fait en sorte qu’elle manque de précision sur la manière d’atteindre les objectifs décrits.

En vertu de la Convention sur l’IA de l’UE, les parties doivent mettre en place des mesures visant à garantir que l’utilisation des systèmes d’IA est compatible avec la protection des droits de l’homme, la préservation de l’intégrité et de l’indépendance des structures institutionnelles et le maintien des processus démocratiques, y compris la séparation des pouvoirs, l’indépendance de la justice, l’accès à la justice et le débat public.

La Convention sur l’IA de l’UE fait mention de la notion de « risques et impacts négatifs » sans en donner une définition claire. Si certains éléments indiquent que ces termes « se réfèrent principalement aux obligations et engagements en matière de droits de l’homme applicables aux cadres existants de chaque partie en matière de droits de l’homme, de démocratie et d’État de droits », les limites de ce concept demeurent ambiguës.

Une approche fondée sur les risques ou les impacts est un élément essentiel de la nouvelle législation en matière d’IA, notamment dans la Loi européenne sur l’intelligence artificielle et le projet de Loi sur l’intelligence artificielle et les données du Canada (ci-après, la « LIAD »).

Parmi les autres obligations imposées par la Convention sur l’IA de l’UE, citons la mise en place de mesures visant à : garantir le respect de la dignité humaine et de l’autonomie personnelle (article 7); assurer la transparence et le contrôle adaptés aux contextes et aux risques, ce qui comprend de déterminer le contenu généré par l’IA, et à exercer et à faire respecter les droits de propriété intellectuelle (article 8); établir l’obligation de rendre des comptes et la responsabilité des systèmes d’IA susceptibles d’avoir des impacts négatifs sur les droits de l’homme, la démocratie et l’État de droit (article 9); aider à garantir que les activités des systèmes d’IA respectent les droits à l’égalité et à la non-discrimination (article 10); assurer le respect de la vie privée et la protection des données à caractère personnel (article 11); favoriser la fiabilité des systèmes d’IA et la confiance en leurs résultats (article 12); favoriser une innovation sûre dans des environnements contrôlés sous la surveillance d’autorités compétentes (article 13).

Recours et surveillance

Les parties doivent mettre en place des recours effectifs et accessibles contre les violations des droits de l’homme dans le contexte des systèmes d’IA. Pour qu’un recours soit effectif, il doit pouvoir remédier directement aux situations contestées. De plus, un recours est accessible s’il est disponible avec des garanties procédurales suffisantes.

La Convention sur l’IA de l’UE appelle à l’évaluation et à l’atténuation continues des risques posés par les systèmes d’IA, ce qui exige un examen approfondi des impacts potentiels, la prise en compte du point de vue des parties prenantes et un suivi continu, tout en portant une attention particulière aux besoins des enfants et des personnes handicapées.

Les parties doivent également promouvoir les compétences numériques, y compris l’acquisition de compétences de pointe pour les personnes qui font partie de la chaîne de valeur de l’IA, et garantir un débat public et une consultation multipartites au sujet des « questions importantes » soulevées par les systèmes d’IA, bien que ce terme ne soit pas défini.

Enfin, les parties doivent garantir des mécanismes de contrôle indépendants et effectifs des mesures et de la réglementation en matière d’IA, et favoriser la coopération entre les acteurs de la protection des droits de l’homme.

Entrée en vigueur

Les signataires actuels comprennent l’UE, les États-Unis, le Royaume-Uni, Andorre, la Géorgie, l’Islande, la Norvège, la Moldavie, Saint-Marin et Israël. Toutefois, la Convention sur l’IA de l’UE ne pourra entrer en vigueur que trois mois après qu’au moins cinq signataires l’auront ratifiée.

Comme aucun ne l’a fait à ce jour, la date de son entrée en vigueur demeure encore inconnue (en droit international, une convention n’est pas contraignante pour ses signataires avant sa ratification, qui est l’acte juridique effectif exprimant le consentement d’un État à être lié par une convention).

Pour tout signataire ultérieur, dont potentiellement le Canada (qui a participé à la négociation), la Convention sur l’IA de l’UE deviendrait contraignante trois mois après le dépôt de sa ratification. Lors de la signature, de la soumission de l’instrument de ratification, de l’acceptation, de l’approbation ou de l’adhésion, les parties doivent préciser comment elles entendent respecter les obligations prescrites dans la Convention sur l’AI de l’UE dans une déclaration adressée au Secrétaire général du Conseil de l’Europe.

En bref : Qu’en est-il de la réglementation future en matière d’IA

Si le Canada décide de signer la Convention sur l’IA de l’UE, la LIAD, qui est en cours d’examen par un comité de la Chambre des communes, devra faire l’objet d’importantes révisions.

En effet, même si la LIAD respecte la Convention sur l’IA de l’UE en ce qui concerne les obligations relatives à la tenue de registres, à l’évaluation des risques, aux mesures d’atténuation, à la notification des dommages, à la divulgation publique des descriptions des systèmes d’IA et à la mise en place d’un organisme de surveillance (qui doivent toutefois être précisées dans les futures réglementations qui ne sont pas encore rédigées), elle s’avère insuffisante sur de nombreux points essentiels.

La réglementation de la LIAD est axée sur les systèmes d’IA à incidence élevée du secteur privé. Bien qu’il ait été suggéré que le concept de « systèmes à incidence élevée » couvrait les systèmes ayant une incidence sur les droits de l’homme, il n’y a actuellement aucune prise en compte explicite de la sauvegarde de la démocratie et de l’État de droit.

Les amendements proposés à la LIAD suggèrent cependant de mettre en œuvre des niveaux de systèmes à incidence élevée, y compris notamment les systèmes d’IA utilisés par les tribunaux ou par les organes administratifs dans leurs procédures de jugement des droits d’une personne.

Parmi les autres modifications visant les systèmes d’IA à usage général susceptibles de présenter des risques sociétaux en raison de leur échelle, notons l’introduction d’obligations d’évaluation des risques en matière de « diffusion de la désinformation et de fonctionnement des institutions sociétales et démocratiques ». La période de consultation sur la LIAD s’est terminée le 6 septembre dernier et son avenir demeure incertain. Les élections fédérales de l’automne 2025 et une réécriture possiblement importante de la LIAD pour la rendre conforme à la Convention sur l’IA de l’UE se profilent à l’horizon.

Conclusion

La Convention sur l’IA de l’UE apporte une preuve de l’émergence d’un cadre législatif entourant l’IA sur la scène mondiale et vise à guider la communauté internationale vers une réglementation uniforme des systèmes d’IA. Cet objectif est soutenu par ses principaux signataires, dont l’UE, les États-Unis et le Royaume-Uni. Il est important de noter que certaines grandes puissances, dont la Chine, n’ont pas participé aux négociations. Puisque la Convention sur l’IA de l’UE établit principalement des principes directeurs, il reste à voir comment les signataires traduiront ces dispositions en législation locale exécutoire.

À propos des auteurs

Charles S. Morgan est coleader national du groupe Cyber/Données de McCarthy Tétrault et ancien leader du groupe Droit des technologies de l’information. Il a également été président de l’International Technology Lawyers Association.

Francis Langlois est avocat au sein du cabinet McCarthy.

Samantha Morel est étudiante en droit chez McCarthy.