L’IA va-t-elle trop vite pour que les autorités de réglementation puissent suivre?
La Loi sur l’intelligence artificielle et les données devrait entrer en vigueur en 2025, selon des experts du secteur, même si certains d’entre eux trouvent ce délai trop long. (Getty Images/TeeraKonakan)
Les technologies alimentées par l’intelligence artificielle (IA) offrent de nouvelles opportunités aux entreprises, leur permettant de réaliser d’importants gains d’efficacité et de relever de nouveaux défis. Mais comme nombre de projets innovants évoluent à un rythme rapide, ces opportunités s’accompagnent de nouveaux risques, notamment en matière d’éthique et de protection de la vie privée.
Même si les organismes canadiens de réglementation œuvrent à trouver des solutions, les organisations ne devraient pas attendre pour se conformer aux lois qui devraient bientôt entrer en vigueur, conseille Olivier Blais, cofondateur de Moov AI, une société qui propose des solutions d’IA aux entreprises.
Olivier Blais représente également le Canada au sein du comité des normes ISO pour les systèmes d’IA – il est président de la délégation canadienne pour la norme ISO/IEC JTC 1/SC 42 (IA) – et contribue à façonner le cadre législatif canadien. Il fait le point sur les développements récents et sur ce qu’il faut surveiller.
CPA Canada : Pouvez-vous nous parler de l’évolution récente en IA et de ce qu’elle signifie concrètement pour les organisations?
Olivier Blais (OB) : Jusqu’à tout récemment, il fallait des milliers de données pour lancer un projet, car chacun était unique. À présent, on réutilise davantage des solutions existantes (y compris de fournisseurs concurrents) qui ont déjà été entraînées avec de très grandes variétés de données. On a donc besoin de beaucoup moins de données pour arriver à des résultats, même si l’on continue à développer des solutions propres à certains clients pour les cas complexes.
Dans le monde de la comptabilité et des finances, on utilise de plus en plus des IA génératives (soit la même technologie que ChatGPT) pour auditer des données, interpréter des états financiers et des normes comptables, prévoir les ventes ou aider à la prise de décisions financières. Ces systèmes d’IA sont optimisés en fonction du contexte, soit les meilleures pratiques, les politiques internes de l’entreprise et des normes comptables solides.
CPA Canada : Où en est le Canada sur le plan de la réglementation?
OB : À l’instar du Parlement européen qui vient d’approuver la Législation sur l’intelligence artificielle visant à réguler le secteur, le Canada entend jouer un rôle de leader dans l’encadrement mondial de l’IA avec la Loi sur l’intelligence artificielle et les données (LIAD), contenue dans le projet de loi C 27.
La loi devrait entrer en vigueur en 2025, selon des experts du secteur, même si certains d’entre eux trouvent ce délai trop long. La LIAD misera sur la transparence et sera rédigée dans un langage compréhensible par tous, en plus d’évoluer au fur et à mesure que la technologie progressera. Elle statuera grosso modo que quiconque interagissant avec un système d’IA devrait savoir que c’est le cas et devrait pouvoir connaître les forces et faiblesses du système et ce qui est pris en considération pour générer la prédiction.
La LIAD obligera les organisations à détailler les solutions d’IA et à mettre en place des contrôles pour mitiger les risques. Beaucoup de solutions n’auront pas grand-chose à corriger si les risques de préjudices individuels, de préjudices collectifs et de résultats biaisés sont faibles. En revanche, les personnes mal intentionnées ou qui proposent des solutions à incidence élevée seront scrutées à la loupe et devront rendre des comptes.
CPA Canada : L’éthique et la protection de la vie privée sont au centre de la profession de CPA. Or les projets d’innovation en IA soulèvent de nombreuses questions en la matière. Faut-il s’inquiéter?
OB : En effet, les risques sont réels. Rien qu’en formulant une demande dans la version de base de ChatGPT, vous vous exposez à une brèche de sécurité, puisque le système stocke vos renseignements en Californie, dans les serveurs d’OpenAI. De plus, les résultats générés ne font l’objet d’aucune validation ni d’aucun contrôle de la part du fournisseur.
Imaginez par exemple qu’un système d’IA donne un conseil médical qui vous mettrait en danger ou qu’il fasse des prédictions farfelues parce qu’il a tenu compte d’une valeur aberrante. Ou encore, pensez aux répercussions juridiques d’un texte généré qui contiendrait des informations confidentielles ou soumises au droit d’auteur. Sans parler de la facilité avec laquelle on peut faire circuler de fausses informations ou frauder en usurpant des identités.
Pour gagner la confiance du public, les organisations doivent donc identifier les risques dès maintenant, les quantifier, puis les réduire le plus possible sans quoi il y aura des sanctions.
CPA Canada : Il est donc temps de mettre en place des mesures de protection adéquates. Par où commencer?
OB : Même s’il est prévu de recourir à des méthodes issues de standards approuvés à l’international, l’idée est d’adopter une saine gestion de risques avec des principes forts. Par exemple, qu’en aucun cas une solution ne puisse être préjudiciable aux humains qui l’utilisent et qu’une personne doive en tout temps pouvoir être tenue responsable.
Cela implique d’améliorer la gouvernance, quitte à former un conseil de gouvernance des données, et de veiller à lutter contre certains biais (notamment discriminatoires), qui sont un des grands risques pour les entreprises.
Il n’y aura pas de déluge d’amendes du jour au lendemain, mais il sera possible, en vertu de la LIAD, de remettre de telles amendes et d’intenter des poursuites au criminel.
CPA Canada : En attendant la LIAD, quelles pratiques les organisations peuvent-elles déjà adopter de façon volontaire?
OB : Plusieurs normes ISO concernant spécifiquement l’IA seront bientôt publiées, comme la norme ISO/IEC 42001 (Systèmes de gestion de l’IA), qui sera la principale norme d’évaluation de la conformité. Parmi les autres références incontournables à l’heure actuelle figurent les normes ISO 27000 (qui fournissent une vue d’ensemble des systèmes de gestion de la sécurité de l’information), 27001 (sur les bonnes pratiques à suivre dans le cadre de la création d’un système de gestion de la sécurité de l’information) et 27701 (sur la protection de la vie privée).
Au Canada, on a la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), mais puisque le numérique ne connaît pas de frontières, il faut tenir compte du Règlement général sur la protection des données (RGPD) ainsi que de la Législation sur l’intelligence artificielle de l’Union européenne.
Un projet pilote visant à définir et à mettre à l’essai les exigences d’un programme d’évaluation de la conformité des systèmes de management de l’IA est par ailleurs en cours au Canada. Le National Institute of Standards and Technology a aussi lancé un cadre de gestion des risques, qui comprend une liste de 72 risques à vérifier.
CPA Canada : Avez-vous encore confiance que tout se passera bien?
OB : Tout à fait, pourvu qu’on prenne en amont les mesures nécessaires pour se conformer à la loi et limiter les risques encourus par les utilisateurs. C’est un peu comme en aviation : on ne se demande plus si un avionneur a pris les mesures nécessaires avant de monter à bord. Cela va de soi. Il en sera de même avec l’intelligence artificielle.
EN SAVOIR PLUS SUR L’IA
Consultez les ressources technologiques de CPA Canada sur les incidences de l’automatisation et de l’IA concernant le rôle des CPA. Écoutez le balado de la série Voir demain sur l’incidence de l’IA en comptabilité et découvrez pourquoi il est important d’adopter une approche de l’IA responsable et centrée sur l’humain. Enfin, découvrez comment mettre en œuvre une gouvernance des données et des TI efficace.