[co-author: Humna Wasim, stagiaire]

Le 16 août 2023, le gouvernement du Canada a annoncé la tenue d’une consultation sur un projet de code de pratique (le « code ») pour les systèmes d’intelligence artificielle (« IA ») générative. Le code viserait à aider les développeurs, les diffuseurs et les opérateurs de systèmes d’IA générative à se conformer au futur régime réglementaire prévu dans la Loi sur l’intelligence artificielle et les données (la « LIAD »), laquelle a été présentée dans le cadre du projet de loi C‑27 en juin 2022 (pour en savoir davantage sur le projet de loi C‑27, consultez le Bulletin Blakes intitulé Réglementation des systèmes d’intelligence artificielle : le gouvernement fédéral propose une nouvelle loi).

Les systèmes d’IA générative, comme ChatGPT, Dall-E 2 et Midjourney, sont entraînés à partir de multiples bases de données textuelles et d’images. Ces systèmes retiennent de plus en plus l’attention partout dans le monde en raison de leur capacité à générer du contenu inédit sous diverses formes et dans divers contextes. Conscient de la possibilité que les systèmes d’IA générative soient utilisés à des fins malveillantes ou inappropriées, et du profil de risque distinct et étendu de ceux-ci, le gouvernement a déposé la LIAD afin de fournir un cadre juridique aux fins de la réglementation des systèmes d’IA générative au Canada.

Le Comité permanent de l’industrie et de la technologie examine actuellement le projet de loi C‑27. Bien que les travaux relatifs au projet de loi aient été retardés, le gouvernement témoigne de son engagement à réglementer l’IA en consultant les parties prenantes au sujet de l’élaboration d’un code auquel les entreprises canadiennes pourraient adhérer et qu’elles pourraient mettre en œuvre de façon volontaire.

Le gouvernement sollicite actuellement des commentaires sur certains éléments potentiels du code, lesquels sont résumés ci-après.

1. Sécurité

Le code tiendrait compte du fait que la sécurité doit être envisagée de façon globale afin d’évaluer adéquatement les répercussions possibles des systèmes d’IA générative et les utilisations abusives qui peuvent en être faites. Compte tenu du vaste éventail d’utilisations envisageables des systèmes l’IA générative, les risques pour la sécurité doivent être évalués de manière très large. Les développeurs et les diffuseurs de systèmes d’IA générative seraient donc encouragés à cerner les moyens par lesquels un système peut être utilisé à des fins malveillantes, notamment pour usurper l’identité de personnes réelles ou pour se livrer à du harponnage (spearfishing), ainsi qu’à prendre des mesures pour empêcher de telles utilisations. Les développeurs, les diffuseurs et les opérateurs de systèmes d’IA générative seraient également tenus de cerner les façons dont un système peut attirer une utilisation inappropriée ou nuisible et de prendre des mesures pour empêcher que cela ne se produise, par exemple en expliquant clairement aux utilisateurs finaux les capacités et les limites du système.

2. Justice et équité

Le code accorderait de l’importance au rôle des systèmes d’IA générative au chapitre de la justice et de l’équité sociétales, en raison des vastes ensembles de données à partir desquels ils sont entraînés et de l’échelle à laquelle ils sont déployés. Le code exigerait que les modèles soient formés sur des données appropriées et représentatives, et qu’ils fournissent des résultats pertinents, précis et impartiaux. Ainsi, le code recommanderait que les développeurs de ces systèmes veillent à évaluer et à conserver efficacement les ensembles de données afin d’éviter d’entraîner leurs systèmes à partir de données non représentatives et de faible qualité. En outre, aux termes du code, les développeurs, les diffuseurs et les opérateurs de systèmes d’IA générative seraient encouragés à mettre en œuvre des mesures pour évaluer et atténuer le risque de résultats biaisés.

3. Transparence

Le code tiendrait également compte du fait que les systèmes d’IA générative peuvent poser un défi particulier en matière de transparence, étant donné que leurs données d’entraînement et leur code source peuvent ne pas être facilement accessibles et que leurs résultats peuvent être difficiles à expliquer ou à rationaliser. De ce fait, le code serait conçu de manière à veiller à ce que les personnes soient informées lorsqu’elles interagissent avec un système d’IA ou un contenu généré par l’IA. Les développeurs et les diffuseurs de systèmes d’IA générative seraient donc encouragés à fournir une méthode fiable et librement accessible pour détecter le contenu généré par le système d’IA, comme le filigrane. Ils devraient de surcroît fournir une explication pertinente du processus utilisé pour développer le système, y compris les mesures prises pour cerner les risques. Les opérateurs de systèmes d’IA générative seraient quant à eux encouragés à veiller à ce que les systèmes qui pourraient être confondus avec des êtres humains soient clairement et visiblement identifiés comme des systèmes d’IA.

4. Supervision et surveillance par les humains

La supervision et la surveillance des systèmes d’IA par les humains sont essentielles pour garantir que ces systèmes soient sécuritaires. Le code tiendrait compte de la nécessité pour les développeurs, les diffuseurs et les opérateurs d’assurer une surveillance humaine suffisante des systèmes d’IA générative. Il encouragerait par ailleurs la mise en œuvre de mécanismes permettant d’identifier et de signaler rapidement les effets négatifs des systèmes (en maintenant, par exemple, un registre des incidents), puis inciterait les développeurs et les opérateurs à s’engager à procéder à des mises à jour régulières des modèles au moyen de méthodes de réglage fin.

5. Validité et robustesse

Le code tiendrait aussi compte de la nécessité pour les systèmes d’IA de demeurer résilients dans divers contextes afin de renforcer la confiance des utilisateurs finaux. Bien que la souplesse des systèmes d’IA générative demeure un avantage clé de la technologie, le code accorderait de l’importance à la mise en œuvre de méthodes de test rigoureuses pour prévenir les utilisations abusives. Les développeurs seraient encouragés à utiliser un large éventail de méthodes de test dans divers contextes, y compris des tests contradictoires (p. ex., la méthode de l’équipe rouge ou red-teaming), afin de mesurer le rendement et déceler les vulnérabilités. Les développeurs, les diffuseurs et les opérateurs de systèmes d’IA générative seraient encouragés à employer des mesures de cybersécurité appropriées pour prévenir ou identifier les attaques adverses sur leur système (par exemple, l’empoisonnement des données).

6. Responsabilité

Enfin, compte tenu du vaste profil de risque des systèmes d’IA générative, le code tiendrait compte de la nécessité d’établir, en plus des mécanismes de gouvernance interne, un processus de gestion des risques complet et multiforme, faisant notamment en sorte que les employés de toute la chaîne de valeur de l’IA comprennent leur rôle. Les développeurs, les diffuseurs et les opérateurs de systèmes d’IA générative seraient encouragés à mettre en place de multiples lignes de défense pour garantir la sécurité de leur système, et à réaliser des audits internes et externes (indépendants) avant et après la mise en service de celui-ci. Cela comprend l’élaboration de politiques, de procédures et de formations appropriées pour s’assurer que les rôles et les responsabilités sont clairement définis et que le personnel connaît bien ses tâches et les pratiques de gestion des risques de l’organisation.

Le code est actuellement à l’étude par le gouvernement afin d’évaluer si ces engagements demeurent efficaces pour garantir un climat de confiance et une mise en œuvre appropriée dans le monde de l’IA générative. Le gouvernement du Canada sollicite activement des commentaires sur les améliorations à apporter au code.