Y voir plus clair dans l’avenir des lois sur l’IA

1. La portée mondiale de la Loi sur l’IA de l’UE :

Conséquences pour les entreprises canadiennes Le paysage de la réglementation de l’IA évolue rapidement, tant en Amérique du Nord qu’en Europe, et l’adoption récente de la Loi sur l’IA de l’UE a marqué un tournant à cet égard. La Loi sur l’IA de l’UE entraînera de nouvelles obligations importantes en matière de conformité, même pour les entreprises exerçant leurs activités à l’extérieur des frontières de l’UE, y compris pour les entreprises canadiennes ciblant le marché de l’UE.

En effet, l’article 2 de la Loi étend son applicabilité à toute entité qui fabrique, utilise, importe ou distribue des systèmes d’IA dans l’UE, quel que soit l’emplacement. Elle s’applique également aux systèmes d’IA utilisés dans l’UE, même s’ils sont fabriqués ailleurs.

Les entreprises canadiennes qui développent, utilisent ou vendent des produits d’IA, y compris des systèmes d’IA à usage général et des applications d’IA pour appareils mobiles dans l’UE, devraient commencer à se conformer à la Loi sur l’IA de l’UE dès maintenant afin de s’assurer qu’elles seront prêtes lorsque la Loi sur l’IA de l’UE entrera en vigueur au premier trimestre de 2025.

2. L’effet Bruxelles :

La Loi sur l’IA de l’UE définira-t-elle des normes mondiales pour la réglementation de l’IA, à l’instar du Règlement général sur la protection des données (RGPD)? La portée mondiale étendue de la Loi sur l’IA de l’UE a le potentiel d’établir une référence internationale pour la gouvernance de l’IA, un peu comme l’effet que le Règlement général sur la protection des données de l’UE (« RGPD ») a eu sur les normes mondiales en matière de protection des données.

Même pour les entreprises situées hors des frontières de l’UE, la Loi pourrait indirectement influencer les obligations de conformité si la législation locale reflète la Loi sur l’IA de l’UE ou si les normes industrielles, façonnées par les clauses contractuelles établies avec des partenaires commerciaux, commencent à refléter ses dispositions.

Conçue pour s’harmoniser parfaitement avec le RGPD, la Loi sur l’IA de l’UE crée une hiérarchie de conformité qui touche de nombreuses sociétés mères étrangères, leurs filiales locales, ainsi que les participants à leur chaîne d’approvisionnement, qui doivent tous respecter certaines obligations de conformité.

3. Des amendes importantes prévues dans la Loi sur l’IA de l’UE :

Un avertissement pour les entreprises canadiennes Les entreprises canadiennes devraient également se familiariser avec la Loi sur l’IA de l’UE en raison des sanctions sévères qu’elle prévoit en cas de non-conformité. Les violations à la loi relativement aux systèmes d’IA interdits peuvent donner lieu à des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel total de l’exercice précédent, selon le plus élevé de ces montants.

Le non-respect des règlements sur les systèmes d’IA à risque élevé peut donner lieu à des amendes pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel total de l’exercice précédent, selon le plus élevé de ces montants. En outre, les entreprises peuvent faire l’objet de sanctions non financières, comme la suspension ou le retrait des systèmes d’IA du marché de l’UE.

Ces interdictions pourraient avoir d’importantes conséquences selon le niveau d’application de la loi de l’UE. Le déploiement de systèmes d’IA utilisant des techniques subliminales, comme des couleurs, motifs ou images clignotantes, pourrait être examiné de près en raison de leur capacité à modifier le comportement de manière préjudiciable. Les entreprises doivent prendre en considération les conséquences importantes de ces pratiques, car leur utilisation peut entraîner des dommages physiques, psychologiques et économiques importants.

Par exemple, le préjudice économique peut résulter de fonctionnalités discriminatoires qui désavantagent les personnes dépourvues de moyens financiers, donnant ainsi lieu à une discrimination financière. Il est essentiel pour les entreprises de comprendre et d’atténuer ces risques afin d’assurer leur conformité et d’éviter de lourdes sanctions.

4. Obligations des fournisseurs et des responsables du déploiement de systèmes d’IA à risque élevé

Dans le contexte des systèmes d’IA à risque élevé, les responsabilités en matière de conformité varient d’un bout à l’autre de la chaîne d’approvisionnement. Les fournisseurs de systèmes d’IA doivent d’abord déterminer si leur système doit être classé comme un système d’IA « à risque élevé » avant leur entrée sur le marché et, si tel est le cas, se conformer aux exigences correspondantes prévues par la loi en procédant à une évaluation de la conformité, conformément à l’article 43 de la Loi sur l’IA de l’UE.

Cette évaluation doit être réalisée avant la mise sur le marché ou le lancement d’un service, conformément aux normes prescrites. Les fournisseurs doivent mesurer l’effort que représente la mise en marché d’un système à risque élevé par rapport aux conséquences potentielles d’un refus d’accès à ce système.

En outre, les fournisseurs ont la responsabilité de mettre en œuvre un système robuste de gestion de la qualité et du cycle de vie afin de prévenir les défectuosités, de maintenir l’intégrité du système et de garantir la transparence.

Ils doivent notamment informer clairement les utilisateurs sur le mode de fonctionnement du système. Les responsables du déploiement doivent s’assurer que les données introduites dans le système sont pertinentes et adaptées à l’usage auquel elles sont destinées. Ils doivent informer le fournisseur de tout défaut de fonctionnement du système et tenir des registres de rendement. Toutes les parties concernées par le système d’IA doivent respecter les obligations réglementaires à toutes les étapes de la chaîne de valeur.

La mise en place en amont de mécanismes efficaces de transmission des renseignements est essentielle pour garantir le respect de la loi.

5. Mesures pratiques pour assurer la conformité de l’entreprise en matière d’IA

Les entreprises peuvent prendre plusieurs mesures pour se conformer au cadre législatif à venir. Il est essentiel de commencer par un inventaire complet de tous les systèmes d’IA utilisés. Cette évaluation structurée aide à déterminer la catégorie de chaque système d’IA et à évaluer l’exposition potentielle de l’entreprise.

Bien que cette étape puisse être imposante et coûteuse, elle est essentielle pour garantir la conformité avec les exigences prévues par la loi à venir. En outre, il est recommandé de procéder à une évaluation de l’état de préparation à la législation sur l’IA afin de vérifier la conformité avec la Loi sur l’IA de l’UE.

La Loi prévoit que les fournisseurs de modèles d’IA à usage général doivent mettre en place une politique visant à respecter les lois européennes sur le droit d’auteur. En vertu de l’article 53 de la Loi sur l’IA de l’UE, la transparence est renforcée par l’obligation pour les fournisseurs de modèles d’IA à usage général de fournir un résumé des données d’apprentissage utilisées pour ces systèmes.

6. Aperçu comparatif :

Loi sur l’IA de l’UE par rapport à la LIAD Il est important pour les entreprises canadiennes de comprendre les différences et les similitudes entre les cadres réglementaires de l’UE et du Canada en matière d’IA. Canada : L’effort initial pour créer un cadre réglementaire complet pour l’IA au Canada est énoncé dans l’avant-projet de loi intitulé Loi sur l’intelligence artificielle des données (« LIAD »), qui fait partie du projet de loi C-27.

La LIAD vise à réglementer le développement et le déploiement des systèmes d’IA dans le secteur privé. Comme la Loi sur l’IA de l’UE, la LIAD a comme objectif de réglementer à la fois les systèmes d’IA à incidence élevée et les systèmes d’IA à usage général. La LIAD vise également à couvrir l’ensemble du cycle de vie des systèmes d’IA. Union européenne (UE) : La Loi sur l’IA de l’UE sera horizontale et fondée sur les risques, elle visera l’ensemble du cycle de vie des systèmes d’IA et elle accordera la priorité à la sécurité des produits et à la protection des droits de la personne fondamentaux.

Principaux points de comparaison :

Objectif : La portée de la LIAD est plus étroite que celle de la Loi sur l’IA de l’UE, en ce sens qu’elle se concentre sur le commerce et les dommages, alors que la Loi sur l’IA de l’UE met l’accent sur la sécurité des produits et les droits de la personne fondamentaux.

Approche réglementaire : La Loi sur l’IA de l’UE est plus complète et prescriptive, et elle adopte une approche fondée sur le risque à plusieurs niveaux, alors que la LIAD limite son approche fondée sur le risque à un niveau de systèmes d’IA à « incidence élevée ».

Application extraterritoriale : La Loi sur l’IA de l’UE aura une portée et une incidence extraterritoriales plus importantes que la LIAD.

Application de la chaîne de valeur : Les deux lois abordent la chaîne de valeur de l’IA, mais la Loi sur l’IA de l’UE attribue des obligations plus nuancées aux différents rôles, en particulier pour les systèmes d’IA à risque élevé.

Définition de l’IA : La LIAD définit de manière plus large le système d’IA, dans la mesure où elle ne se limite pas aux systèmes d’IA qui fonctionnent avec un certain degré d’« autonomie ».

Systèmes d’IA interdits : Contrairement à la LIAD, la Loi sur l’IA de l’UE interdit l’utilisation de certains types de systèmes d’IA.

IA à usage général : La Loi sur l’IA de l’UE adopte une approche fondée davantage sur le risque pour réglementer l’IA à usage général, en établissant une catégorie propre aux systèmes d’IA à usage général qui présentent un « risque systémique ».

Droits de plainte : Un droit de plainte est accordé exclusivement dans la Loi sur l’IA de l’UE.

Modifications aux systèmes d’IA : La LIAD impose des exigences plus complètes concernant les modifications apportées aux systèmes d’IA.

7. Les professionnels utilisent l’IA à mauvais escient dans les procédures judiciaires – Une étude de cas de la Cour suprême de la Colombie-Britannique

L’utilisation de l’IA dans des contextes professionnels nécessite la plus grande prudence. Dans la cause Zhang c. Chen, 2024 BCSC 285, une affaire de droit de la famille à la Cour suprême de la Colombie-Britannique, l’avocat est passé au crible pour avoir cité des causes générées par ChatGPT qui se sont révélées être hallucinées ou fabriquées par l’IA.

Bien que des recherches approfondies n’aient pas permis de trouver ces causes, le tribunal s’est abstenu d’ordonner des frais spéciaux, mais a demandé à l’avocat de couvrir certains frais liés au temps perdu.

Le jugement souligne la nécessité d’établir un processus de contrôle humain des résultats des systèmes d’IA (en particulier lorsqu’ils sont utilisés par des professionnels), en insistant sur le fait que l’IA générative ne peut pas remplacer l’expertise humaine dans le système judiciaire.

Cette affaire met en lumière le rôle essentiel d’une gouvernance responsable de l’IA et de la vigilance dans les pratiques professionnelles afin de garantir l’intégrité des procédures judiciaires.

8. Incidence de l’IA sur la protection des renseignements personnels

Les organismes de réglementation canadiens surveillent de près l’évolution de l’IA afin de s’assurer que les outils sont conformes aux lois existantes en matière de protection des renseignements personnels. Toutefois, ces organismes de réglementation reconnaissent que la vitesse grand V à laquelle l’IA évolue rend difficile l’atteinte de la pleine conformité.

Notamment, l’obtention du consentement constitue un enjeu. Dans la législation canadienne en vigueur, le consentement constitue le principal fondement juridique pour le traitement des renseignements personnels dans les systèmes d’IA. En outre, la législation canadienne exige que les renseignements personnels ne soient utilisés qu’à des « fins appropriées ».

Cette exigence signifie que même la mise en place de mécanismes de consentement robustes ne peut justifier l’utilisation des renseignements personnels à des fins jugées inappropriées. Des interdictions strictes, notamment en ce qui concerne la discrimination et les violations des droits de la personnes – appelées « zones interdites », doivent absolument être respectées par les entreprises.

9. État actuel du paysage de la réglementation de l’IA au Québec en matière de droit civil

Le Code civil du Québec (« CCQ ») met à la disposition deux régimes particuliers pouvant s’appliquer lors de l’évaluation du risque en matière de responsabilité civile lié au développement et au déploiement de systèmes d’IA au Québec.

Le premier régime de responsabilité est axé sur le « fait autonome du bien ». L’article 1465 du CCQ stipule que le gardien d’un bien est tenu de réparer le préjudice causé par le fait autonome de celui-ci, à moins qu’il prouve n’avoir commis aucune faute.

Cela signifie que le gardien d’un système d’IA, même s’il n’en est pas le propriétaire, pourrait être tenu responsable de tout préjudice causé par les actions autonomes de l’IA. Toutefois, l’identification du gardien dans le contexte de l’IA peut être problématique. Le second régime de responsabilité concerne la responsabilité du fait des produits en vertu de l’article 1468 du CCQ, qui considère potentiellement les systèmes d’IA comme des produits.

Ce régime s’applique à un large éventail d’acteurs, y compris les fabricants, les distributeurs et les fournisseurs, qu’il tient pour responsables des défauts de sécurité des systèmes d’IA. Pour respecter ces cadres juridiques, les entreprises doivent faire preuve de prudence dans le déploiement et la gestion des systèmes d’IA afin d’atténuer leurs responsabilités potentielles et d’assurer leur conformité avec la réglementation en constante évolution.

10. L’IA dans les transactions commerciales

Les contrats dans le domaine de l’IA deviennent de plus en plus complexes, à mesure que de nouveaux cadres réglementaires entrent en vigueur. Par exemple, les juristes canadiens spécialisés dans les contrats doivent tenir compte de l’incidence extraterritoriale de la Loi sur l’IA de l’UE, qui devrait être considérée comme un guide de pratiques exemplaires influençant les normes et les clauses contractuelles dans le domaine de l’IA.

Les questions portant sur la terminologie et la conformité sont fréquentes dans les contrats liés à la technologie qui touchent souvent plusieurs fournisseurs et la chaîne d’approvisionnement. Le manque de clarté et de normalisation complique les transactions. La Loi sur l’IA de l’UE ajoute des couches de complexité en imposant des exigences en matière de gestion des risques, de qualité des données et d’intégration d’un cadre.

Les négociations comportent désormais de nouveaux cadres et des discussions sur la répartition des risques, ce qui complique encore plus le processus à toutes les phases de la chaîne d’approvisionnement. Ces facteurs mettent en lumière la nécessité d’approfondir notre compréhension des règlements sur l’IA et de rédiger méticuleusement les contrats pour s’orienter dans les complexités des transactions commerciales renfermant des aspects liés à l’IA.

À propos des auteurs

Charles S. Morgan est coleader national du groupe Cyber/Données de McCarthy Tétrault et ancien leader du groupe Droit des technologies de l’information.

Pierre Dushime est étudiant en droit chez McCarthy Tétrault.

Connor Di Chiro est étudiant en droit chez McCarthy Tétrault.