Trois philosophies, un même défi
La gouvernance de l'intelligence artificielle est un enjeu mondial qui se décline selon des approches profondément différentes d'une juridiction à l'autre. L'Union européenne a opté pour une réglementation ambitieuse et contraignante. Les États-Unis privilégient une approche sectorielle et largement volontaire. Le Québec, à l'intersection de ces influences et fort de ses propres traditions juridiques et sociales, développe une voie distincte. Comprendre ces différentes approches est essentiel pour les décideurs québécois qui opèrent dans un contexte de plus en plus internationalisé.
L'approche européenne : le Règlement sur l'intelligence artificielle
L'Union européenne a adopté le Règlement sur l'intelligence artificielle (RIA), premier cadre réglementaire complet au monde spécifiquement dédié à l'IA. Ce règlement, entré progressivement en application, établit une approche fondée sur le risque qui classe les systèmes d'IA en quatre catégories selon leur niveau de risque.
Les systèmes à risque inacceptable sont interdits. Cela inclut les systèmes de crédit social, la manipulation subliminale, l'exploitation de vulnérabilités et certaines formes de reconnaissance faciale en temps réel dans les espaces publics.
Les systèmes à haut risque, utilisés dans les infrastructures critiques, l'éducation, l'emploi, les services essentiels, la justice et la gestion de l'immigration, sont soumis à des obligations strictes en matière de gestion des risques, de qualité des données, de documentation technique, de transparence, de surveillance humaine et de robustesse.
Les systèmes à risque limité sont soumis à des obligations de transparence, notamment l'obligation d'informer les utilisateurs qu'ils interagissent avec un système d'IA.
Les systèmes à risque minimal ne sont soumis à aucune obligation spécifique.
Le RIA est complété par le Règlement général sur la protection des données (RGPD), qui encadre le traitement des données personnelles et qui a exercé une influence mondiale sur la législation en matière de vie privée, y compris sur la Loi 25 au Québec.
L'approche européenne se caractérise par sa dimension prescriptive, son champ d'application extraterritorial (elle s'applique aux systèmes déployés ou ayant des effets dans l'UE, quel que soit le lieu d'établissement du fournisseur), son mécanisme de sanctions dissuasif (amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial) et l'établissement de structures de gouvernance dédiées, dont le Bureau européen de l'IA.
L'approche américaine : flexibilité et sectorialité
Les États-Unis ont adopté une approche fondamentalement différente. Plutôt qu'un cadre réglementaire unifié, l'approche américaine repose sur une combinaison de lignes directrices fédérales, de réglementations sectorielles et d'initiatives des États.
Au niveau fédéral, le décret exécutif sur l'IA signé par le président Biden en octobre 2023 a établi des exigences de sécurité et de transparence pour les développeurs de systèmes d'IA les plus puissants, tout en restant en deçà d'une réglementation contraignante. L'Institut national des normes et de la technologie (NIST) a publié un cadre de gestion des risques de l'IA (AI Risk Management Framework) qui constitue une référence volontaire pour les organisations.
Au niveau des États, des initiatives législatives variées émergent. La Californie, l'État de New York, le Colorado et d'autres ont adopté ou proposé des lois ciblant des aspects spécifiques de l'IA, comme les biais dans les systèmes de recrutement ou la transparence des systèmes de décision automatisée. Cette fragmentation crée un paysage réglementaire complexe pour les entreprises opérant dans plusieurs États.
L'approche américaine se caractérise par sa préférence pour l'autorégulation et les normes volontaires, sa priorité accordée à l'innovation et à la compétitivité, son cadre sectoriel plutôt qu'horizontal, et la responsabilité largement laissée aux entreprises de définir leurs propres pratiques de gouvernance.
L'approche québécoise : une voie médiane
L'approche québécoise en matière de gouvernance de l'IA se situe entre le modèle européen et le modèle américain, tout en présentant des caractéristiques propres.
Comme l'Europe, le Québec dispose d'un cadre législatif de protection des données personnelles robuste et contraignant (la Loi 25), qui impose des obligations significatives aux organisations utilisant l'IA. Comme l'Europe, le Québec valorise la protection des droits fondamentaux et l'encadrement public des technologies.
Comme les États-Unis, le Québec n'a pas (encore) adopté de législation spécifique à l'IA. Le cadre applicable résulte de l'application de lois existantes, protection des données, droits de la personne, responsabilité civile, aux systèmes d'IA.
L'approche québécoise se distingue par plusieurs éléments propres. La tradition de droit civil, fondée sur le Code civil du Québec, offre des mécanismes de responsabilité et de protection distincts de la common law en vigueur dans le reste du Canada et aux États-Unis. La démarche participative de la Déclaration de Montréal constitue une innovation en matière de cocréation de principes éthiques pour l'IA. La dualité des compétences fédérale et provinciale crée un cadre de gouvernance multi-niveaux qui peut être source de complexité mais aussi de complémentarité.
Analyse comparative des forces et faiblesses
L'approche européenne offre une certitude juridique et une protection des droits élevées, mais elle est critiquée pour sa complexité, ses coûts de conformité et son risque de freiner l'innovation. Le modèle américain favorise l'innovation et la flexibilité, mais il offre une protection inégale et fragmentée, avec des lacunes importantes en matière de droits individuels. L'approche québécoise bénéficie d'un cadre de protection des données solide et d'un écosystème de recherche de premier plan, mais elle souffre de l'absence de législation spécifique à l'IA et de la complexité du partage de compétences fédéral-provincial.
Les leçons pour le Québec
L'expérience européenne offre au Québec des enseignements précieux en matière de classification des risques, de mécanismes d'évaluation de conformité et de structures de gouvernance. L'approche fondée sur le risque du RIA pourrait inspirer un futur cadre québécois qui concentrerait les obligations réglementaires sur les systèmes d'IA les plus susceptibles de porter atteinte aux droits des personnes.
L'expérience américaine illustre l'importance de maintenir un environnement favorable à l'innovation et de ne pas imposer des obligations disproportionnées aux petites entreprises et aux start-ups. Les approches sectorielles américaines offrent aussi des exemples de réglementation ciblée qui pourrait être adaptée au contexte québécois.
Le Québec devrait chercher à tirer le meilleur des deux modèles : la rigueur de la protection des droits fondamentaux à l'européenne et la flexibilité favorisant l'innovation à l'américaine, le tout enraciné dans ses propres valeurs et traditions juridiques.
Les enjeux d'interopérabilité
Pour les entreprises québécoises qui opèrent à l'international, la multiplicité des cadres de gouvernance de l'IA crée des défis de conformité. Une entreprise montréalaise qui déploie un système d'IA en Europe, aux États-Unis et au Québec doit naviguer dans des cadres réglementaires différents et parfois contradictoires.
L'harmonisation, ou à défaut l'interopérabilité, des cadres de gouvernance de l'IA est un objectif stratégique pour le Québec. La participation active aux forums internationaux de gouvernance de l'IA et la prise en compte des normes internationales dans l'élaboration du cadre québécois sont essentielles pour faciliter les échanges économiques et la collaboration en recherche.
Conclusion
La gouvernance de l'IA est un domaine en pleine structuration au niveau mondial. Le Québec a l'opportunité de développer une approche qui lui est propre, inspirée des meilleures pratiques internationales mais enracinée dans ses valeurs et ses réalités. L'enjeu n'est pas de choisir entre le modèle européen et le modèle américain, mais de construire un modèle québécois qui concilie protection des droits, promotion de l'innovation et affirmation de ses valeurs distinctes.
