Cet article représente la seconde partie de notre analyse transatlantique comparative portant sur les initiatives législatives prises pour encadrer l’intelligence artificielle (IA) des deux côtés de l’océan Atlantique, c’est-à-dire dans l’Union européenne (UE) d’une part, et au Canada et aux États-Unis, d’autre part. Pour en apprendre davantage sur ce qui est fait à ce niveau dans l’UE, nous vous renvoyons à la première partie du présent texte : « L’intelligence artificielle et le droit en Europe : analyse transatlantique comparative ».
L’Intelligence Articificielle et le droit aux États-Unis
Aux États-Unis, le 10 décembre 2021, la U.S. Federal Trade Commission (FTC) publiait un Statement of Regulatory Priorities, démontrant l’intention de cette agence gouvernementale de lancer la procédure visant à proposer l’élaboration et l’adoption de lois et règlements sur des questions telles que la confidentialité, la sécurité et le « algorithmic decision-making » (prise de décision algorithmique), qui ne sont actuellement soumis à aucune loi fédérale. Notamment, la FTC considère faire appel à son pouvoir réglementaire pour limiter des pratiques trop peu contraignantes au niveau de la confidentialité et les atteintes à la vie privée, ainsi que pour s’assurer que les processus de décision reposant sur des algorithmes (c.-à-d. faisant appel à l’IA) ne donnent pas lieu à de la discrimination. Il y a encore peu de détails sur les prochaines étapes de cette initiative de la FTC, mais il est attendu que d’importants changements auront lieu en 2022 dans le domaine de l’IA aux États-Unis.
Il est également pertinent de se pencher sur ce que les différents États américains ont adopté en termes de législation ce qui concerne l’IA. Des lois générales ou des résolutions ont été proposées dans 17 États en 2021, et ont été adoptées dans quatre états :
- Alabama : la loi Al S.B. 78 (Technology, Alabama Council on Advanced Technology, estab., to advise Governor and Legislature, members, duties) a comme but d’établir le « Alabama Council on Advanced Technology and Artificial Intelligence ». Ce dernier aura comme rôle d’examiner le travail du gouverneur et du législateur de l’Alabama, ainsi que celui de toutes autres parties intéressées, et de les conseiller sur l’utilisation et le développement des technologies avancées et de l’IA dans l’État.
- Colorado : la loi CO S.B. 169 (Act Concerning Protecting Consumers From Unfair Discrimination in Insurance Practices), interdit aux assureurs d’avoir recours à toute donnée externe concernant leurs clients, ainsi qu’à des algorithmes ou à des modèles prédictifs ayant recours à des sources de données externes, qui pourraient donner lieu à de la discrimination basée sur la race, sur la couleur de peau, l’origine nationale ou ethnique, etc.
- Illinois : la loi IL H.B. 53 (Amends the Artificial Intelligence Video Interview Act) modifie le Artificial Intelligence Video Interview Act et dispose que les employeurs qui ont entièrement recours à l’IA afin de déterminer si une personne devrait être invitée pour un entretien en personne ont l’obligation de recueillir certaines données démographiques et d’en faire état auprès du Department of Commerce and Economic Opportunity. Ce dernier a l’obligation d’analyser les données qui lui sont transmises afin de déterminer si l’utilisation de l’IA dans ce secteur donne lieu à une discrimination raciale. Il doit alors en faire état auprès du Gouverneur et de l’Assemblée générale d’Illinois.
- Mississippi : la loi MS HB 633 (Mississippi Computer Science and Cyber Education Equality Act) impose à l’État du Mississippi de mettre en place des formations portant notamment sur l’IA et le « machine learning » dans les écoles de tous niveaux de l’État.
L’IA et le droit au Canada
Le Canada n’a pas encore adopté de loi portant spécifiquement sur l’IA, tant au niveau fédéral qu’au niveau provincial. Néanmoins, à la fin de l’année 2020, le gouvernement canadien a proposé une nouvelle loi : le Consumer Privacy Protection Act (CPPA). Cette loi canadienne sur les données à caractère personnel, qui s’inscrit dans une volonté de transparence et de responsabilisation des acteurs économiques, remplacera l’actuelle Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Entre autres, l’exigence de transparence sera renforcée, et les organisations devront transmettre toutes les informations nécessaires concernant la façon dont elles utilisent les systèmes de prise de décision automatisés (c.-à-d., faisant appel à des algorithmes pouvant être assimilés à l’IA) pour faire des prédictions ou prendre des décisions concernant les utilisateurs. Les utilisateurs quant à eux disposeront du droit de demander plus d’explications sur ces procédures.
La modification de la LPRPDE a également ouvert la porte à la révision des lois provinciales en matière de protection des données à caractère personnel en Ontario, en Colombie-Britannique, en Alberta et au Québec. Il est certain que l’IA sera un sujet qui sera pris en considération lors de l’élaboration des nouvelles réglementations, comme démontré entre autres par le Livre blanc de l’Ontario « Modernisation de la protection de la vie privée en Ontario », publié dans le cadre de la consultation publique en lien avec la modernisation de la protection de la vie privée en Ontario. Ce document souligne entre autres l’importance d’encadrer les pratiques de profilage et de prise de décision automatisée.
En ce qui concerne la modification des lois provinciales actuelles sur la vie privée, le Québec a ouvert la marche en adoptant le projet de loi n°64 : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « loi 64 ») le 21 septembre 2021. Ayant pour but de moderniser l’encadrement applicable à la protection des renseignements personnels, le projet de loi 64 vient modifier un certain nombre de lois, notamment la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRPSP »). Comme la CPPA, il impose l’obligation aux organismes publics et aux entreprises qui utilisent des données à caractère personnel afin que soit rendue une décision fondée exclusivement sur un traitement automatisé de celles-ci d’en informer la personne concernée. De plus, la loi 64 prévoit un encadrement des procédés biométriques. Par exemple, une organisation qui voudrait mettre en place un système et une base de données biométriques devra faire une évaluation des facteurs relatifs à la vie privée préalablement à tout projet impliquant des données biométriques.
En conclusion, le paysage juridique portant sur l’IA, tant au niveau national qu’international, va subir de nombreux changements dans les prochaines années. Il est primordial pour les entreprises de se tenir à jour sur ce sujet, puisque cela signifie que de nouvelles obligations leur seront également imposées.
Cabinet d’avocat pratiquant aussi bien le droit anglophone de la common law en Grande-Bretagne, au Canada et aux États-Unis que le droit civil francophone au Québec et en France, le cabinet S. Grynwajc dispose en outre d’une expertise particulière en tant qu’avocat RGPD, dans le secteur de la protection des données à caractère personnel. En conséquence, si vous souhaitez vous assurer que votre organisation se conforme aux nouvelles obligations lui incombant, n’hésitez pas à nous contacter, nous serons ravis de vous accompagner !