Encadrement légal de l’intelligence artificielle : quelle est l’approche de l’Union européenne, des États-Unis et de la Chine?

1 février 2024

Introduction

Plusieurs grandes villes canadiennes telles que Toronto, Montréal et Edmonton sont considérées comme des places de choix par les investisseurs et les entreprises intéressés par le développement, la conception et l’utilisation des systèmes d’intelligence artificielle (l’« IA »)1. Bénéficiant d’instituts nationaux spécialisés en IA tels que le l’Institut québécois d'intelligence artificielle à Montréal2, d’établissements postsecondaires dotés de centres de recherche à la fine pointe ainsi que de réseaux collaboratifs constitués de certains des meilleurs talents au monde en IA3, le Canada se classe 5e puissance mondiale en IA derrière les États-Unis, la Chine, Singapour et le Royaume-Uni, selon la liste mondiale The Global AI Index dévoilée le 28 juin 2023.

Selon ce rapport, le Canada se démarque particulièrement quant aux stratégies gouvernementales qu’il met en place pour investir, innover et mettre en œuvre l’IA. Cela dit, le Canada a descendu d’un rang dans ce classement par rapport à l’année dernière face à la montée fulgurante de Singapour. Il est ainsi difficile de savoir si le Canada saura défendre sa place parmi les leaders en IA alors que, tout comme lui, les autres puissances ont annoncé leur intention de légiférer en la matière.

En juin 2023, le premier ministre britannique a présenté le Royaume-Uni comme futur foyer mondial de la réglementation de l’IA. La Chine, de son côté, a lancé sa nouvelle réglementation sur les contenus générés par l’IA en août 2023 et le président des États-Unis a émis un décret pour une IA sûre, sécurisée et digne de confiance en octobre 2023. Le Parlement européen, quant à lui, est parvenu à un accord quant à la réglementation européenne de l’IA en décembre 2023. Enfin, au Canada, un projet de loi sur l’IA et les données, que nous avons abordé dans un précédent article, est présentement à l’examen en comité à la Chambre des communes.

Le présent article vise à fournir une revue non exhaustive de la réglementation actuelle (ou en voie d’être adoptée) de l’IA en Europe, aux États-Unis et en Chine4. Pour ce qui est de Singapour et du Royaume-Uni, les auteures ne s’y attarderont pas. Cela est dû au fait que Singapour ne semble actuellement pas disposer de législation régissant spécifiquement l’utilisation de l’IA. En effet, bien que le gouvernement dispose d’une loi concernant la protection des données personnelles, il ne semble pas vouloir encadrer légalement l’IA pour le moment, « afin de ne pas enrayer les innovations dans le domaine et de bénéficier de premiers retours d’expérience sur les législations mises en place par d’autres acteurs5 ».

Quant au Royaume-Uni, il a publié le 29 mars 2023 un livre blanc exposant ses propositions pour réglementer l’utilisation de l’IA. Au lieu d’introduire une nouvelle législation de grande envergure pour réglementer l’IA sur son territoire, tel que le fait l’Union européenne et le gouvernement du Canada, le gouvernement britannique semble se concentrer sur la définition de cinq grands principes en matière de développement et d’utilisation de l’IA, soit l’équité, la transparence, la sécurité, la responsabilisation et la contestabilité, tout en donnant aux régulateurs existants le pouvoir de réglementer les systèmes d’IA dans leurs secteurs respectifs.

 

Le cadre juridique de l’Union européenne 

Le 9 décembre 2023, l’Union européenne (l’« UE ») est parvenue à un accord provisoire sur la législation sur l’intelligence artificielle, appelée l’IA Act, afin d’établir un cadre légal harmonisé et complet de tous les systèmes d’IA sur l’ensemble de son territoire.

Mise à jour en date du 5 février 2024 : Les 27 États membres de l'UE ont approuvé à l’unanimité le 2 février 2024 le texte tel que conclu le 9 décembre 2023.

L’UE a ainsi choisi d’adopter une approche dite « proactive » en matière de législation de l’IA en reconnaissant les bénéfices des systèmes d’IA pour ses citoyens, les entreprises et l’intérêt public, tout en voulant se prémunir contre les risques à la sécurité et aux droits fondamentaux associés à de tels systèmes6.

Un député du Parlement européen a indiqué quant à celle-ci :

La loi sur l’IA donnera le ton au niveau mondial en matière de développement et de gouvernance de l’intelligence artificielle, en veillant à ce que cette technologie, appelée à transformer radicalement nos sociétés grâce aux avantages considérables qu’elle peut offrir, évolue et soit utilisée dans le respect des valeurs européennes que sont la démocratie, les droits fondamentaux et l’État de droit7.

La législation européenne définit un système d’IA comme étant « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations ou des décisions qui influencent les environnements physiques ou virtuels8 ». Cette définition englobe notamment les systèmes utilisant l’IA symbolique ou générative, l’apprentissage automatique, la logique et les connaissances, et même celles qui ne sont pas encore inventées9.

De plus, l’article 3 de l’IA Act énonce que celui-ci s’applique à toutes personnes physiques ou morales, autorités publiques, agences ou autres organismes qui développent ou font développer, mettent sur le marché, mettent en service, mettent à disposition ou utilisent de tels systèmes dans le marché de l’UE, que ce soit à titre onéreux ou gratuit10.

Elle classe les systèmes d’IA en quatre catégories, soit ceux à risque inacceptable, à haut risque, à risque limité et à risque faible ou minimal. Elle interdit ainsi certaines pratiques d’IA considérées comme inacceptables11, notamment :

  • les systèmes permettant de manipuler des personnes par des techniques subliminales agissant sur leur inconscient;
  • les systèmes permettant d’exploiter les vulnérabilités de groupes vulnérables spécifiques tels que les enfants ou les personnes handicapées;
  • les systèmes permettant l’identification biométrique à distance « en temps réel » dans des espaces accessibles au public;
  • les systèmes d’identification biométrique utilisant des caractéristiques sensibles, tels que le genre, la race, l’origine ethnique, le statut de citoyen, la religion, l’orientation politique;
  • les systèmes permettant de déterminer la probabilité qu’une personne commette une infraction ou récidive et fondés sur le profilage, la localisation ou le comportement criminel passé;
  • les systèmes permettant de déduire les émotions et utilisés dans les services répressifs, la gestion des frontières, le lieu de travail et les établissements d’enseignement;
  • les systèmes permettant la création ou le développement des bases de données de reconnaissance faciale par la saisie non ciblée d’images faciales provenant de l’Internet ou de la vidéosurveillance.

Quant aux systèmes d’IA à haut risque – soit ceux présentant un risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, tels que ceux utilisés en matière d’identification biométrique, d’accès à l’éducation, de gestion de la main-d’œuvre, d’accès aux services privés essentiels et aux services et prestations publics, d’application de la loi, de justice et de contrôle des frontières – ils se verront imposer les exigences les plus sévères12. Ils devront notamment être testés pendant leur développement et avant leur mise en marché afin de déterminer les mesures qui permettront de gérer et de minimiser leurs risques13. Ils devront, de plus, assurer un certain degré de transparence, de traçabilité, d’exactitude, de contrôle humain et de cybersécurité14.

Il est à noter que le non-respect de ces règles est sanctionné par « des amendes allant de 7,5 millions d’euros ou 1,5 % du chiffre d’affaires à 35 millions d’euros ou 7 % du chiffre d’affaires mondial, en fonction de l’infraction et de la taille de l’entreprise »15.

Alors que le Parlement européen est parvenu à un accord provisoire avec le Conseil quant au texte de la loi sur l’IA européenne, le texte convenu devra maintenant être formellement adopté par le Parlement européen et le Conseil de l’UE pour entrer en vigueur16.

Ainsi, l’UE semble vouloir établir un cadre juridique complet de l’IA afin de s’assurer que les systèmes d’IA développés, conçus, mis en marché et utilisés en Europe, misent sur le facteur humain, de manière à assurer une utilisation de la technologie sûre et conforme au respect des droits fondamentaux.

 

Le cadre juridique des États-Unis 

Historiquement, le gouvernement fédéral américain semblait avoir adopté une approche plus passive en matière de réglementation de l’IA afin de favoriser l’innovation et la croissance dans ce domaine. Le président américain a toutefois signé et dévoilé le 30 octobre 2023 un décret visant à régir le développement et l’utilisation de l’IA. Cette décision fait d’ailleurs suite à l’engagement volontaire pris en juillet par quinze grandes entreprises américaines pour favoriser un développement sûr, sécurisé et digne de confiance de l’IA.

Le nouveau décret vise notamment à établir de nouvelles normes en matière de sûreté et de sécurité de l’IA, à protéger la vie privée des Américains, à faire progresser l’équité et les droits civils, à défendre les consommateurs et les travailleurs, à promouvoir l’innovation et la concurrence et à faire progresser le leadership américain dans le monde17.

Le président américain a d’ailleurs déclaré juste avant la signature du décret :

Une chose est claire : pour réaliser les promesses de l’IA et éviter les risques, nous devons gouverner cette technologie, […] et il n’y a pas d’autre solution, à mon avis. Elle doit être encadrée. [Traduction libre]18

Bien que la législation au soutien de ce décret reste à être adoptée par le Congrès américain, le décret ordonne notamment aux développeurs des systèmes d’IA les plus puissants :

  • d’identifier clairement le contenu généré par l’IA afin de protéger les Américains contre la fraude et la tromperie basées sur l’IA;
  • de tester les systèmes d’IA pour s’assurer qu’ils sont sûrs, sécurisés et dignes de confiance;
  • de partager les résultats de leurs tests de sécurité et d’autres informations critiques avec le gouvernement américain;
  • de développer des outils d’IA afin de trouver et de corriger les vulnérabilités des logiciels critiques.

Outre ces exigences, le décret prévoit également pour le gouvernement américain et ses agences :

  • l’élaboration d’un mémorandum sur la sécurité nationale qui oriente les actions futures sur l’IA;
  • le renforcement et l’accélération de la recherche et du développement d’outils pour la préservation de la vie privée;
  • l’élaboration de directives claires visant à empêcher les algorithmes d’IA d’être utilisés pour exacerber la discrimination;
  • l’application de meilleures pratiques dans l’ensemble du système de justice pénale et notamment en matière d’enquêtes et de poursuites en cas de violations des droits civils liées à l’IA;
  • l’établissement d’un programme de sécurité pour recevoir les signalements de préjudices ou de pratiques de soins de santé dangereuses impliquant l’IA et la mise en place de mesures pour y remédier;
  • l’élaboration de principes et de pratiques exemplaires pour atténuer les préjudices et maximiser les avantages de l’IA pour les travailleurs en s’attaquant au déplacement d’emplois;
  • la concentration de la recherche sur l’IA à travers les États-Unis grâce à un projet pilote de la National AI Research Resource.

Avant cette annonce, le cadre normatif fédéral américain reposait essentiellement sur les lois et règlements déjà existants plutôt que sur une législation globale et applicable à tous les systèmes d’IA; sur des lignes directrices non contraignantes telles que celles de la Déclaration des droits de l’IA portant sur la conception et l’utilisation responsables de l’IA publiée par la Maison-Blanche en octobre 2022; et sur l’autoréglementation du secteur.

Cela dit, avant même l’annonce du décret présidentiel en octobre 2023, plusieurs États avaient décidé de faire preuve d’initiative afin de réguler l’IA. Ainsi, dix États américains ont incorporé des règles en matière d’IA à des lois plus vastes et qui ont été adoptées ou sont entrées en vigueur en 2023. Leur législation touche cependant des secteurs très spécifiques tels que celui de l’emploi et de la protection de la vie privée des consommateurs.

En outre, plusieurs agences fédérales sont impliquées dans la réglementation et la supervision de certains aspects de l’IA dans le cadre de leur juridiction respective, telles que la Federal Trade Commission, qui lutte contre les pratiques commerciales trompeuses et déloyales liées à l’IA, et le Department of Transportation, qui est chargé de réglementer les véhicules autonomes et d’assurer leur sécurité sur les routes américaines.

Ainsi, force est de constater que le cadre juridique applicable à l’IA des États-Unis est en pleine évolution.

 

Le cadre juridique de la Chine 

Le gouvernement chinois s’est également doté d’une réglementation en matière d’IA, tant en ce qui concerne la confidentialité des données, la propriété intellectuelle, la sécurité nationale que l’éthique.

Les nouvelles mesures pour la gestion des services d’IA générative, en vigueur en Chine depuis le 15 août 2023, fournissent un cadre juridique pour garantir que la fourniture et l’utilisation des systèmes d’IA sont conformes aux lois et réglementations chinoises. Elles énoncent notamment que ce contenu doit adhérer aux valeurs fondamentales du socialisme et interdisent l’incitation à la subversion du pouvoir de l’État, le renversement du système socialiste, la mise en danger de la sécurité et des intérêts de l’État, l’atteinte à l’image de l’État, l’incitation à la sécession de l’État, l’atteinte à l’unité de l’État et à la stabilité sociale, la propagation du terrorisme, de l’extrémisme, la promotion de la haine nationale et de la discrimination ethnique, de la violence, de l’obscénité et de la pornographie, ainsi que des informations fausses et nuisibles19.

Ces règles s’appliquent aux systèmes d’IA générative qui fournissent au grand public des services permettant de générer du texte, des images, du contenu audio ou vidéo20.

Ainsi, les nouvelles mesures prévoient les obligations suivantes pour les fournisseurs de tels services21 :

  • utiliser des données et des modèles de base provenant de sources légitimes;
  • éviter d’enfreindre les droits de propriété intellectuelle dont jouissent d’autres personnes;
  • obtenir le consentement des individus dont les informations personnelles sont utilisées;
  • prendre des mesures efficaces pour améliorer la qualité des données de formation et renforcer l’authenticité, l’exactitude, l’objectivité et la diversité des données de formation.

Ces nouvelles mesures reflètent ainsi les efforts de la Chine afin d’encourager l’innovation et le développement de l’intelligence artificielle générative tout en préservant ses valeurs socialistes, la responsabilité des fournisseurs et la protection de la propriété intellectuelle. Enfin, il convient de noter que ces mesures sont dites provisoires, ce qui indique que la Chine pourrait développer davantage son cadre réglementaire dans le futur.

 

Conclusion

Ainsi, tout comme le Canada, qui jouit d’une réputation et d’un statut de leader en matière d’IA, plusieurs autres puissances mondiales voient les avantages de légiférer dans le domaine, notamment en s’assurant que les systèmes d’IA conceptualisés, développés et utilisés sur leur territoire respectent certains grands principes, tels que la transparence, la protection de la vie privée et des droits de la personne, la sécurité du grand public et l’éthique.

Or, l’approche adoptée par chaque pays face à l’encadrement légal de l’IA diffère. Au final, les entreprises devront donc s’assurer de bien comprendre et de respecter les différentes exigences qui leur sont applicables.

Quant au Canada, le gouvernement fédéral semble toujours viser l’adoption prochaine de la Loi sur l’intelligence artificielle et les données. Il est cependant à noter que la présente version de ce projet de loi pourrait changer d’ici son adoption, qui n’est pas prévue avant 2025, puisque son contenu fait l’objet de plusieurs débats et discussions. Enfin, il sera intéressant de voir si cette réglementation que le Canada semble vouloir adopter lui permettra de continuer à attirer certains des plus grands chercheurs, experts et entreprises spécialisées en IA tout en s’assurant que les Canadiens et Canadiennes puissent avoir confiance dans les systèmes d’IA qu’ils utilisent au quotidien.

__________

1 Le terme « intelligence artificielle » désignant dans cet article la capacité d’une machine d’imiter ou de surpasser le comportement intelligent et les activités des humains.
2 Il y a également l’Alberta Machine Intelligence Institute à Edmonton et l’Institut Vecteur pour l’intelligence artificielle à Toronto.
3 On peut notamment penser à Yoshua Bengio, qui est un chercheur québécois d’origine marocaine, spécialiste en intelligence artificielle, et pionnier de l’apprentissage profond.
4 Il est à noter que les auteures, étant membres du Barreau du Québec, ne sont pas spécialisées en droit étranger, que le texte n’a pour objet que de présenter des renseignements généraux sur des nouvelles d’ordre juridiques, qu’il ne constitue pas une opinion juridique et ne peut être traité ou invoqué comme tel.
5 Direction générale du Trésor (26 juillet 2023), « Singapour : une stratégie gouvernementale pragmatique en matière d’intelligence artificielle », en ligne.
6 « Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL ÉTABLISSANT DES RÈGLES HARMONISÉES CONCERNANT L’INTELLIGENCE ARTIFICIELLE (LÉGISLATION SUR L’INTELLIGENCE ARTIFICIELLE) ET MODIFIANT CERTAINS ACTES LÉGISLATIFS DE L’UNION », EUR-Lex, en ligne.; Parlement européen (14 juin 2023). « Amendements du Parlement européen, adoptés le 14 juin 2023, à la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union », Parlement européen, en ligne.
7 Janne Ojamo et Yasmina Yakimova (14 juin 2023) « Les députés sont prêts à négocier les premières règles pour une IA sûre et transparente », Actualité Parlement européen, en ligne.
8 Article 3 de la Proposition de Règlement, supra note 5.
9 Article 3 de la Proposition de Règlement, supra note 5.
10 Article 3 de la Proposition de Règlement, supra note 5.
11 Article 5 de la Proposition de Règlement, supra note 5.
12 Article 6 de la Proposition de Règlement, supra note 5.
13 Article 9 de la Proposition de Règlement, supra note 5.
14 Article 2.3 du préambule de la Proposition de Règlement, supra note 5.
15 Yasmina Yakimova (9 décembre 2023), « Loi sur l’intelligence artificielle: accord sur des règles globales pour une IA digne de confiance », en ligne.
16 Parlement européen (19 décembre 2023), « Loi sur l'IA de l'UE : première réglementation de l'intelligence artificielle », en ligne.
17 The White House (Octobre 30, 2023), « FACT SHEET: President Biden Issues Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence », The White House, en ligne.
18 The White House (Octobre 30, 2023), « Remarks by President Biden and Vice President Harris on the Administration’s Commitment to Advancing the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence », The White House, en ligne.
19 Article 4a) des Mesures provisoires.
20 Article 2 des Mesures provisoires.
21 Article 7 des Mesures provisoires.