On est en 2029. Ça ne va pas bien du tout.
Un système d’intelligence artificielle (IA) militaire du nom de CombatGPT est devenu autonome et capable de prendre des décisions par lui-même. Cette machine a décidé que les humains sont un paquet de problèmes et elle s’efforce de nous éliminer.
Un robot à l’apparence humaine est envoyé dans le passé, en 2024, pour empêcher l’adoption du projet de loi C-27 par le parlement canadien. Heureusement, une héroïne intrépide remonte elle aussi le temps pour déjouer son plan.
C’est une façon de raconter l’histoire, mais il y en a une autre.
Dans cette version, l’héroïne intrépide remonte le temps pour convaincre le gouvernement d’adopter une version améliorée du projet de loi C-27, avec le méchant robot envoyé pour l’en empêcher.
C-27 et l’intelligence artificielle
On a déjà parlé de certains enjeux liés à la vie privée en lien avec le projet de loi C-27 dans l’épisode 22 du balado Cyber Citoyen. Bien que la modernisation de la protection des renseignements personnels et de la vie privée est un objectif important de ce projet de loi, ce n’est pas le seul.
En effet, la partie 3 du projet, intitulée Loi sur l’intelligence artificielle et les données (LIAD), est là justement pour encadrer l’utilisation de l’IA.
On pourrait être tenté de comparer la LIAD avec la loi sur l’IA passée récemment par l’Union européenne. Mais l’approche est différente.
Là où l’Europe a balisé de façon beaucoup plus précise les règles entourant la recherche et l’utilisation de l’IA, le gouvernement canadien a choisi de proposer un projet de loi assez vague.
Une grande partie des définitions et des procédures doivent être déterminées par règlements, ce qui veut dire, après l’adoption de la loi.
Par exemple, plusieurs dispositions de cette loi vont encadrer les « systèmes à incidence élevée ».
Vous aimeriez savoir, ce que c’est ?
En principe, ce sont les systèmes qui peuvent nous affecter de façon importante. Mais, c’est difficile d’en dire plus parce que les critères pour déterminer ce qui est « à incidence élevée » ne sont pas inclus dans le projet de loi. Ils vont être établis par règlement.
Il y a d’autres différences avec la récente loi européenne.
En Europe, les systèmes d’IA qui sont censés poser un risque inacceptable pour la sécurité sont tout simplement bannis. Deux exemples de technologies dans cette liste sont la reconnaissance des émotions sur le lieu de travail et les établissements d’éducation et les systèmes de crédit social, c'est-à-dire les systèmes de notes basés sur nos comportements.
La loi limite aussi l’utilisation des technologies utilisant la catégorisation par biométrie et de la reconnaissance faciale. Il n’y a pas de notion d’utilisation interdite de l’IA dans la LIAD canadienne.
Alors qu’en Europe, tous les systèmes d’IA sont soumis à certaines règles de transparence, au Canada, seuls ceux qualifiés comme des « systèmes à incidence élevée » vont l’être.
De plus, la loi européenne oblige les personnes et entreprises qui développent des systèmes considérés à haut risque d’inclure une analyse d’impact sur les droits fondamentaux.
Pas les mêmes règles pour tout le monde
Dans l’introduction, on apprend que la LIAD ne s’appliquera pas à certains ministères et organismes : la Défense nationale, le Service canadien du renseignement de sécurité (SCRS) et le Centre de la sécurité des télécommunications (CST).
La loi dit aussi que l’on peut ajouter n’importe quel ministère ou organisme fédéral, ou provincial, à cette liste par règlement.
Ces exemptions ouvrent la porte à l’utilisation de l’IA pour la reconnaissance faciale et la surveillance, tout en ignorant son impact sur le respect de la vie privée et les droits fondamentaux.
L’utilisation illégale par la Gendarmerie royale du Canada (GRC) du logiciel de reconnaissance faciale Clearview AI est un exemple du type d’abus que ces technologies peuvent permettre.
En Europe, la loi permet certaines exceptions pour les forces de l’ordre, mais celles-ci sont limitées et balisées de façon plus claires.
Qui surveille les fabricants de robots ?
Dans la structure proposée, c’est le ministère de l’Innovation, des Sciences et de l’Industrie qui a le rôle de surveiller l’industrie de l’IA. Mais ce ministère est également celui qui finance et fait la promotion du développement de cette technologie.
Selon l’experte en gouvernance de l’IA, Mardi Witzel, ce double rôle entre la promotion de l’industrie et la protection du public soulève une question importante: en cas de conflit, lequel sera priorisé?
Elle rappelle que l’OCDE (Organisation pour la coopération et le développement économique) a produit un guide sur la bonne gouvernance des institutions. Ce guide suggère que les organismes réglementaires soient indépendants et à distance du processus politique.
Certains experts s’inquiètent du fait que c’est le responsable d’un système d’intelligence artificielle qui devra faire l’évaluation pour déterminer si ce système est à « incidence élevée » ou non.
Le ou la ministre de l’Innovation, des Sciences et de l’Industrie peut demander un audit s’il ou elle juge qu’il y a des raisons suffisantes de croire que la loi n’est pas respectée. Cet audit peut être fait à l’interne par la compagnie elle-même ou par un organisme indépendant, payé par l’entreprise.
Selon les experts du Cybersecure Policy Exchange, le projet de loi laisse la responsabilité de la surveillance aux entreprises elles-mêmes. Cette façon de faire donne de moins bons résultats que des audits complètement indépendants et ouvre la porte aux abus.
Le projet de loi n’est pas encore adopté et des amendements sont prévus.
On verra si le résultat final sera une loi que le robot tueur du futur essayera d’empêcher à tout prix ou s’il sera content de voir que cette loi fait peu pour protéger notre vie privée et nos droits fondamentaux devant la prolifération de solutions utilisant l’IA.
Catherine & Samuel
Cyber Citoyen