Projet de loi C-27 et LIAD : ce que les entreprises canadiennes doivent savoir
· 8 min de lecture · Gouvernance
Le projet de loi C-27 inclut la Loi sur l'intelligence artificielle et les données (LIAD). Voici ce que votre entreprise doit savoir pour se préparer.
Le projet de loi C-27 : une refonte majeure
Le projet de loi C-27, officiellement intitulé la Loi de mise en œuvre de la Charte du numérique, représente la plus importante réforme canadienne en matière de protection des données et d'encadrement de l'intelligence artificielle. Ce projet de loi se compose de trois parties distinctes :
- LPRPDE modernisée (LPVPC) : la Loi sur la protection de la vie privée des consommateurs, qui remplace la partie privée de la LPRPDE
- Tribunal de la protection des renseignements personnels et des données : un nouveau tribunal administratif
- LIAD : la Loi sur l'intelligence artificielle et les données
C'est cette troisième partie — la LIAD — qui concerne directement les entreprises utilisant ou développant de l'IA.
La LIAD en détail
Objectifs de la loi
La LIAD vise à :
- Encadrer le développement et l'utilisation de systèmes d'IA au Canada
- Protéger les Canadiens contre les risques associés aux systèmes d'IA à haut impact
- Promouvoir l'innovation responsable en IA
- Établir des normes de transparence et de responsabilité
Définition d'un système d'IA
La LIAD définit un système d'intelligence artificielle comme un système technologique qui, de manière autonome ou semi-autonome, traite des données liées à l'activité humaine par l'utilisation d'algorithmes génétiques, de réseaux neuronaux, d'apprentissage automatique ou d'autres techniques pour générer du contenu ou prendre des décisions, formuler des recommandations ou faire des prédictions.
Systèmes d'IA à « incidence élevée »
Le concept central de la LIAD est celui de système à incidence élevée (high-impact system). Un système d'IA est considéré à incidence élevée s'il est utilisé dans des domaines sensibles :
| Domaine | Exemples de systèmes à incidence élevée | |---------|----------------------------------------| | Emploi | Systèmes de tri de CV, évaluation de performance IA | | Services financiers | Modèles de crédit, détection de fraude automatisée | | Santé | Diagnostic assisté par IA, triage automatisé | | Justice | Évaluation du risque de récidive, analyse prédictive | | Services essentiels | Allocation de logements, services sociaux | | Éducation | Admission automatisée, évaluation IA | | Contenu en ligne | Systèmes de recommandation, modération automatique |
Obligations pour les systèmes à incidence élevée
Les organisations exploitant des systèmes IA à incidence élevée devront :
1. Évaluer les risques
- Identifier les préjudices potentiels pour les individus
- Évaluer la probabilité et la gravité des biais algorithmiques
- Documenter les limites connues du système
2. Atténuer les risques
- Implémenter des mesures pour réduire les risques identifiés
- Tester le système pour détecter les biais et les erreurs
- Mettre en place des mécanismes de surveillance continue
3. Assurer la transparence
- Publier une description générale du système sur un site web accessible
- Informer les individus qu'ils interagissent avec un système IA
- Expliquer comment le système prend ses décisions
4. Tenir des registres
- Documenter les évaluations de risques et les mesures d'atténuation
- Conserver les données d'entraînement et de test
- Maintenir un historique des performances du système
Comparaison avec le AI Act européen
La LIAD s'inspire partiellement du Règlement européen sur l'intelligence artificielle (AI Act), mais avec des différences notables :
| Aspect | LIAD (Canada) | AI Act (UE) | |--------|---------------|-------------| | Approche | Basée sur les risques | Basée sur les risques | | Classification | Incidence élevée | Inacceptable, élevé, limité, minimal | | Interdictions | Limitées | IA sociale scoring, manipulation subliminale | | Transparence | Obligations générales | Obligations détaillées par niveau | | Sanctions | Amendes significatives | Jusqu'à 35 M EUR ou 7 % CA mondial | | IA générative | Peu abordée dans le texte initial | Obligations spécifiques pour les modèles de fondation | | Maturité | Projet en évolution | Adopté et en cours d'application |
Implications pour les entreprises opérant des deux côtés de l'Atlantique
Les entreprises montréalaises et québécoises ayant des activités en Europe devront se conformer aux deux réglementations. La bonne nouvelle : plusieurs exigences se recoupent, permettant une approche harmonisée.
Sanctions prévues
La LIAD prévoit des sanctions significatives pour les infractions :
- Infractions générales : amendes pouvant atteindre 10 millions de dollars ou 3 % du chiffre d'affaires brut mondial
- Infractions graves : amendes pouvant atteindre 25 millions de dollars ou 5 % du chiffre d'affaires brut mondial
- Infractions criminelles : pour les cas de négligence ayant causé un préjudice grave, des poursuites criminelles avec des peines d'emprisonnement sont envisagées
Important : la LIAD est l'une des rares réglementations IA dans le monde à prévoir des sanctions criminelles pour des manquements graves.
État d'avancement et calendrier
Le projet de loi C-27 a connu un parcours législatif complexe. Le texte continue d'évoluer et il est important de suivre les développements, car les dispositions finales pourraient différer du texte initial. Les entreprises sont encouragées à se préparer dès maintenant, en anticipant que les exigences fondamentales resteront présentes dans la version définitive.
Points en discussion
Plusieurs aspects de la LIAD font l'objet de débats :
- La définition précise des systèmes à incidence élevée
- Le rôle du nouveau Commissaire à l'intelligence artificielle et aux données
- L'articulation avec les lois provinciales (notamment la Loi 25 au Québec)
- Les exigences spécifiques pour l'IA générative
- Les délais de mise en conformité
Comment se préparer dès maintenant
1. Inventaire des systèmes IA
Commencez par cartographier tous les systèmes IA utilisés dans votre organisation :
- Systèmes développés en interne
- Solutions IA de fournisseurs tiers
- Outils d'IA intégrés dans vos logiciels (CRM, ERP, marketing)
- Outils d'IA générative utilisés par vos équipes
2. Classification par niveau de risque
Pour chaque système identifié, évaluez s'il pourrait être considéré à incidence élevée :
- Affecte-t-il directement des individus ?
- Intervient-il dans un domaine sensible (emploi, finance, santé) ?
- Prend-il des décisions automatisées significatives ?
- Pourrait-il causer un préjudice en cas de défaillance ?
3. Documentation et gouvernance
Mettez en place les fondations d'une gouvernance IA :
- Registre des systèmes IA : inventaire centralisé avec métadonnées
- Évaluations de risques : analyse documentée pour chaque système
- Politiques internes : règles d'utilisation et de développement de l'IA
- Processus de surveillance : mécanismes de monitoring et de revue
4. Gestion des biais
Implémentez des pratiques de détection et de correction des biais :
- Auditer les données d'entraînement
- Tester les modèles sur des sous-populations
- Mesurer les métriques d'équité
- Documenter les résultats et les actions correctives
5. Transparence et explicabilité
Préparez-vous aux exigences de transparence :
- Pouvez-vous expliquer comment vos systèmes IA prennent leurs décisions ?
- Avez-vous des mécanismes d'explication adaptés aux différents publics ?
- Vos utilisateurs sont-ils informés qu'ils interagissent avec de l'IA ?
6. Coordination avec la Loi 25
Au Québec, les entreprises doivent articuler la conformité LIAD avec les exigences existantes de la Loi 25 :
- ÉFVP : les évaluations des facteurs de vie privée couvrent déjà certains aspects IA
- Responsable vie privée : ce rôle peut être élargi pour couvrir la gouvernance IA
- Registre des traitements : il peut être enrichi pour inclure les systèmes IA
- Droits des individus : les mécanismes d'accès et de contestation sont complémentaires
Le rôle du Commissaire à l'IA et aux données
La LIAD prévoit la création d'un Commissaire à l'intelligence artificielle et aux données, responsable de :
- Superviser l'application de la loi
- Émettre des lignes directrices et des codes de pratique
- Enquêter sur les plaintes et les infractions
- Collaborer avec les autorités provinciales (dont la CAI au Québec)
- Conseiller le gouvernement sur les enjeux IA
Conclusion
Le projet de loi C-27 et la LIAD marquent un tournant dans l'encadrement de l'IA au Canada. Plutôt que d'attendre l'adoption finale du texte, les entreprises canadiennes — et particulièrement québécoises — ont tout intérêt à se préparer dès maintenant. Les fondations de gouvernance mises en place aujourd'hui serviront quelle que soit la forme finale de la loi, et positionneront votre organisation comme un acteur responsable de l'IA.
Vous souhaitez anticiper la conformité à la LIAD ? Contactez notre équipe pour une évaluation de votre maturité en gouvernance IA.
Voir tous les articles