1 Introduction

Les technologies d’intelligence artificielle (IA) offrent de nombreuses possibilités pour faire progresser l’innovation et améliorer la prestation de services, en plus de permettre des économies de temps et d’argent pour la population de l’Ontario. Ces technologies, lorsqu’elles sont utilisées par le gouvernement de l’Ontario, doivent servir à protéger la population, les entreprises et les données de la province, à préserver la confiance du public ainsi qu’à évaluer et gérer les risques de manière responsable.

Même si toutes les technologies comportent un risque, l'IA se distingue par sa capacité à fonctionner de manière autonome et à prendre des décisions. Par conséquent, le chemin parcouru par certains systèmes d’IA pour arriver à une solution est parfois nébuleux, ce qui réduit la transparence. Les erreurs pourraient alors devenir difficiles à relever, ou les décisions, difficiles à contester. L’IA pourrait également amplifier les partis pris et stéréotypes existantsfootnote 1, entraînant un accès aux avantages ou aux services potentiellement discriminatoire, en violation des droits de la personne. Ces problèmes s’aggravent lorsque les gens dépendent trop des données ou des décisions produites par l’IA sans supervision humaine suffisante. Cette situation se nomme « biais d’automatisation ». Il s’agit de la tendance à favoriser l’information offerte par un système automatisé, malgré la présence de renseignements contradictoires d’une source non automatisée.

Afin d’assurer une utilisation responsable et transparente de l’IA au gouvernement de l’Ontario, les ministères et les organismes provinciaux doivent utiliser une approche cohérente et centralisée en matière de gouvernance de l’IA, avoir une compréhension commune des risques connexes et appliquer les règles de manière uniforme pour gérer ces risques à chaque étape du cycle de vie de l’IA, de sa conception à son développement, en passant par l’acquisition, la mise en œuvre, l’exploitation ou la mise hors service des systèmes d’IA. La gestion de ces risques permettra au gouvernement de l’Ontario de concrétiser les avantages et les possibilités offertes par l’IA, en plus de promouvoir une culture de responsabilité partagée à l’égard de ces systèmes.

2 Objectif

La Directive sur l’utilisation responsable de l’intelligence artificielle (la « Directive ») établit les exigences pour une utilisation transparente et responsable de l’IA.

3 Champ d'application

La Directive s’applique à tous les ministères et organismes provinciaux de l’Ontario. Elle exige de ceux qui souhaitent utiliser des systèmes d’IA ou des services comprenant une fonctionnalité d’IA (notamment les outils achetés, mis au point par un ministère ou un organisme provincial ou accessibles au public) qu’ils appliquent la gestion des risques liés à l’IA dans le cadre de l’élaboration ou de la mise en œuvre d’une politique, d’un programme ou d’un service (ci-après « cas d’utilisation ») du gouvernement de l’Ontario, ou de la prise de décisions connexes.

Services technologiques d’infrastructure ou le Groupement de l’information et de la technologie de l’information (ITI) pertinent, selon le cas, est responsable de la gestion des risques liés à l’IA en ce qui a trait aux ressources ou aux systèmes de technologies de l’information TI de l’organisation qui intègrent des éléments d’IA auxquels les ministères (ou organismes provinciaux, le cas échéant) ont recours.

Il incombe à la direction des ministères et organismes provinciaux de veiller à la gestion des risques liés à l’IA en ce qui a trait à toute ressource ou tout système de TI fabriqué ou utilisé dans l’exécution des programmes et services propres à son organisation, avec l’appui du Groupement de l’ITI, le cas échéant.

Les politiques et les directives opérationnelles fournissent parfois du soutien supplémentaire pour la mise en œuvre des exigences de la Directive, notamment la manière de les appliquer aux cas d’utilisation d’IA établis avant la date d’entrée en vigueur de la Directive.

4 Administration

La présente Directive émane du Conseil de gestion du gouvernement, en vertu de la Loi sur le Conseil de gestion du gouvernement et est en vigueur depuis le 1 décembre 2024.

Le secrétaire du Conseil du Trésor (CT) et le Conseil de gestion du gouvernement (CGG) ont le pouvoir d’établir des politiques opérationnelles conformes à la présente Directive.

Le ministère des Services au public et aux entreprises et de l’Approvisionnement (MSPEA) en est responsable comme, généralement, de toute politique opérationnelle. Les responsables d’un autre programme qui souhaitent rédiger une politique opérationnelle en vertu de la présente Directive doivent consulter le MSPEA.

Les ministères et organismes provinciaux doivent demander l’approbation du CGG si, dans des circonstances exceptionnelles, ils ont besoin d’une dérogation à la présente Directive, en tout ou en partie. Toutefois, avant de demander une dérogation, les responsables de programme doivent consulter le MSPEA pendant la préparation de leur demande. La justification de la dérogation doit être documentée dans une analyse de rentabilité approuvée par le CGG.

5 Principes

Les 6 principes qui suivent appuient l’application de la présente Directive. Ils doivent être mis en pratique dans le respect des lois existantes, y compris le cadre éthique établi en vertu de la Loi de 2006 sur la fonction publique de l’Ontario, et éclairer la prise de décisions relatives à l’utilisation de systèmes d’IA (notamment les outils achetés, mis au point par un ministère ou un organisme provincial ou accessibles au public).

5.1 L’IA est utilisée au profit de la population de l’Ontario

Les personnes qui interagissent avec les systèmes d’IA ou sont touchées par leurs résultats sont prises en compte lors de l’étude en vue de leur utilisation possible. Les besoins uniques et diversifiés des utilisateurs et utilisatrices de programmes et de services gouvernementaux qui profitent de l’IA, et ceux des personnes touchées par les résultats découlant de son utilisation, sont pris en considération lors de la conception, de l’exploitation et de l’interprétation des résultats. Les avantages considérables de l’utilisation de l’IA doivent être partagés avec la population de l’Ontario. Il faut toutefois s’assurer que les risques directs et indirects pour ces personnes sont atténués et équilibrés avec des avantages.

5.2 L’utilisation de l’IA est justifiée et proportionnelle. Les systèmes d’IA utilisés sont fiables et valides

L’IA est seulement utilisée dans un but bien précis. La portée de son utilisation correspond à l’ampleur du problème à résoudre. Son utilisation suit une approche de « problème d’abord », plutôt que de « technologie d’abord ». Une fois mis en service, les systèmes d’IA sont fiables et valides, c’est-à-dire qu’ils fonctionnent comme prévu, tout au long de leur cycle de vie.

5.3 L’IA est utilisée d’une manière sécuritaire qui protège la vie privée

La sécurité et la confidentialité des données sont respectées de manière à protéger les renseignements personnels et de nature sensible, et à atténuer les risques et les conséquences négatives, conformément aux lois en matière de protection de la vie privée et aux politiques internes sur les données de nature sensible de l’Ontario. L’utilisation ou la collecte de données personnelles ou de nature sensible est raisonnable et tient compte des avantages possibles pour la population.

5.4 L’utilisation de l’IA est non discriminatoire et axée sur le respect des droits de la personne

L’IA est utilisée de façon à respecter et à protéger l’équité, les droits de la personne et les libertés fondamentales. L’application d’une justice conforme aux lois pertinentes, notamment la Charte canadienne des droits et libertés et le Code des droits de la personne de l’Ontario, est ainsi assurée. Le contexte communautaire, notamment la compréhension des résultats potentiellement discriminatoires et leur atténuation, de même que la conception inclusive, constitue les fondements qui permettent de déterminer la pertinence et la manière d’utiliser l’IA.

5.5 L’utilisation de l’IA est transparente et des explications utiles sur les décisions sont communiquées

L’information donnée au public et aux fonctionnaires sur l’utilisation de l’IA dans un service ou un processus facilite la compréhension des résultats, des conséquences et des avantages.

5.6 L’utilisation de l’IA est effectuée de manière responsable

La supervision humaine, la responsabilité et la maintenance des systèmes d’IA sont clairement démontrées. Il existe un processus permettant au public et aux fonctionnaires de soulever des préoccupations relatives à leur utilisation.

6 Exigences

6.1 Gestion des risques liés à l’IA

  • les ministères doivent assurer une gestion des risques liés à l’IA lorsqu’ils souhaitent utiliser un système d’IA pour un cas d’utilisation du gouvernement de l’Ontario. Cette gestion respecte le processus de gestion des risques de la fonction publique de l’Ontario (FPO)
  • pour la gestion des risques liés à l’IA, les ministères doivent :
    1. 1. Énoncer des objectifs et établir le contexte.
      1. a. documenter le problème que l’IA doit résoudre.
      2. b. déterminer si son utilisation est justifiée.
    2. 2. Cerner les risques.
    3. 3. Évaluer les risques.
      1. a. Déterminer le niveau de risque lié à l’utilisation de l’IA afin de déterminer des mesures de contrôle éventuelles proportionnelles au risque.
    4. 4. Planifier et agir.
      1. a. Déterminer et appliquer les mesures de contrôle proportionnelles au risque.
    5. 5. Produire des rapports et assurer une surveillance.
      1. a. Assurer une surveillance et mettre à jour l’évaluation des risques afin d’assurer que les mesures de contrôle proportionnelles restent à jour et sont appliquées de nouveau, au besoin.
  • la gestion des risques liés à l’IA doit être confirmée par les processus de gouvernance informatiques et numériques. Elle ne doit pas répéter ni remplacer les processus existants (Évaluations de l’impact sur la protection de la vie privée, évaluations des menaces et des risques). Les politiques opérationnelles et les lignes directrices peuvent donner d’autres directives sur la gouvernance et l’approbation de la gestion des risques liés à l’IA

6.2 Divulgation et signalement

  • chaque année, les ministères doivent signaler au MSPEA les cas d’utilisation de l’IA et la gestion des risques, notamment les risques cernés relatifs à l’utilisation de l’IA
  • ils doivent assurer une coordination avec le MSPEA pour la publication d’une liste des cas d’utilisation de l’IA
  • si le public interagit directement avec un service qui se sert de l’IA (par exemple, un robot conversationnel), ou si celle-ci est utilisée dans la prise de décisions qui touchent directement une personne du public (en vue, par exemple, de déterminer son admissibilité à un service ou à des prestations du gouvernement), les ministères doivent également :
    • divulguer publiquement que l’IA est utilisée dans le cadre d’un processus, d’un service ou d’un programme;
    • offrir au public un moyen accessible de trouver de l’information sur l’utilisation de l’IA dans le cadre d’un processus, d’un service ou d’un programme. Ce moyen ne crée pas une nouvelle manière de demander la révision d’une décision. Les moyens législatifs existants pour lancer un appel concernant une décision ou le résultat d’un processus, d’un service ou d’un programme continuent de s’appliquer

6.3 Application aux organismes provinciaux

Les organismes provinciaux doivent :

  • lorsque l’IA est utilisée dans l’élaboration ou l’exécution d’une politique, d’un programme ou d’un service propres à l’organisme, ou dans la prise de décisions connexes, conformément à la section 3 (Champ d’application), assurer la gestion des risques liés à l’IA conformément aux principes de la section 5 et des exigences de la section 6.1, y compris la mise en place de processus d’approbation pour l’utilisation de l’IA en fonction du niveau de risque
    • tenir des dossiers sur la gestion des risques liés à l’IA, y compris des dossiers sur toute évaluation des risques réalisée et des mesures de contrôle proportionnelles au risque appliquées, conformément aux exigences existantes d’archivage et de gestion des dossiers et de l’information
  • publier une liste des cas d’utilisation de l’IA et produire un rapport sur ceux-ci et sur la gestion des risques liés à l’IA, notamment les risques cernés liés à l’utilisation de l’IA, à l’intention de leur ministère responsable, conformément aux exigences de la Directive concernant les organismes et les nominations et le protocole d’entente des organismes provinciaux, et fournir les renseignements et les analyses nécessaires à l’appui
  • si le public interagit directement avec un service qui a recours à l’IA (par exemple, un robot conversationnel), ou si l’IA est utilisée dans la prise de décisions qui touchent directement une personne du public (en vue, par exemple, de déterminer son admissibilité à un service ou à des prestations du gouvernement) :
    • divulguer publiquement que l’IA est utilisée dans le cadre d’un processus, d’un service ou d’un programme;
    • offrir au public un moyen accessible de trouver de l’information sur l’utilisation de l’IA dans le cadre d’un processus, d’un service ou d’un programme. Ce moyen ne crée pas une nouvelle manière de demander la révision d’une décision. Les moyens législatifs existants pour lancer un appel concernant une décision ou le résultat d’un processus, d’un service ou d’un programme continuent de s’appliquer

7 Rôles et responsabilités

Les responsabilités indiquées ci-dessous se rattachent aux entités ou aux organisations remplaçantes qui héritent de ces mandats (par une restructuration organisationnelle ou un changement de nom).

7.1 Conseil du Trésor at Conseil de gestion du gouvernement

  • approuver la présente Directive et les modifications qui y sont apportées
  • approuver les dérogations à la présente Directive, en tout ou en partie, par un examen de l’analyse de rentabilité transmise
  • recevoir le rapport annuel du MSPEA sur la gestion des risques liés à l’IA, y compris une liste des cas d’utilisation de l’IA dans l’ensemble du gouvernement de l’Ontario et des risques cernés liés à son utilisation

7.2 Secrétaire du Conseil de gestion du gouvernement

  • approuver les mises à jour, les dérogations et les politiques opérationnelles relatives à la présente Directive
  • recommander au Conseil du Trésor et au Conseil de gestion du gouvernement les mises à jour à apporter à la présente Directive

7.3 Sous-ministres et chefs d’un organisme provincial ou l’équivalent

  • veiller à la mise en œuvre et à la surveillance des principes et des exigences de la présente Directive dans l’ensemble de leur ministère ou organisme provincial, notamment la mise en place de processus à l’appui de celle-ci
  • veiller à ce que les organismes provinciaux, dont les sous-ministres sont responsables, connaissent les exigences de la présente Directive
  • veiller à ce que toutes les personnes visées par la présente Directive connaissent leurs responsabilités
  • établir, dans le cas des chefs d’un organisme provincial ou d’un équivalent, les processus d’approbation pour l’utilisation de l’(IA) en fonction du niveau de risque

7.4 Comité des sous-ministres pour la prestation des services

  • formuler des conseils sur l’orientation stratégique de l’adoption de l’IA et de la gestion des risques dans l’ensemble du gouvernement de l’Ontario
  • Publier des communications et des directives en fonction des tendances ou questions émergentes en matière de technologie de l’IA

7.5 Sous-ministre associé, Politiques, Archives publiques et données (PAPD)

  • tenir la Directive à jour et appuyer sa mise en œuvre
  • élaborer et tenir à jour une politique stratégique, ainsi que des politiques opérationnelles, des normes, des lignes directrices et des meilleures pratiques qui régissent l’utilisation responsable de l’IA et des données conformément à la Directive, au besoin
  • réaliser des examens de la Directive et de la documentation connexe au moins tous les deux ans, puis recommander les modifications nécessaires
  • collaborer avec le directeur général de l’information pour la fonction publique afin de faire de la sensibilisation et de promouvoir le respect des politiques, des normes et des lignes directrices sur l’IA et la sécurité de l’information, dans l’ensemble du gouvernement de l’Ontario
  • veiller à l’harmonisation entre l’utilisation de l’IA et les exigences et politiques liées à la protection des données et de la vie privée et à l’accès à l’information, notamment la Loi sur l’accès à l’information et la protection de la vie privée et la Loi sur la protection des renseignements personnels sur la santé
  • appuyer la formation sur les exigences de la Directive et leur mise en œuvre

7.6 Bureau du directeur général de la gestion des risques

  • Superviser le processus de gestion globale des risques de la fonction publique de l’Ontario (FPO), notamment l’examen des renseignements sur les risques du ministère et les pratiques de gestion des risques, ainsi que la formulation de conseils à ce sujet
  • Collaborer avec les ministères et les organismes centraux pour assurer la disponibilité des renseignements sur les risques pour le MSPEA

7.7 Directeur général de la sécurité de l’information

  • formuler des conseils et des directives aux ministères, aux organismes provinciaux et aux autres partenaires afin de veiller à l’intégration des questions de sécurité dans la planification, l’acquisition, la mise en œuvre, l’exploitation et la gestion continue de l’IA
  • déterminer les mesures de contrôle de sécurité pertinentes pour l’IA et veiller à leur mise en œuvre, conformément à la politique et aux normes et aux essais de sécurité ou aux recommandations en matière d’évaluation (ou veiller à ce que les risques résiduels soient documentés et acceptés)
  • veiller à l’intégration des politiques, des normes, des exigences et des processus de gestion des cyberrisques liés à l’utilisation de l’IA et évaluer continuellement leur respect
  • collaborer avec les partenaires stratégiques et opérationnels (par exemple, le sous ministre associé, PAPD et le directeur général de l’information pour la fonction publique) afin de formuler des conseils et des directives, d’assurer une sensibilisation relative à la sécurité de l’IA et de créer des formations pour l’organisation
  • prendre des mesures pour bloquer ou mettre fin aux activités qui posent un risque imminent et pourraient entraîner des répercussions importantes pour la sécurité, mettre en œuvre les protocoles de sécurité nécessaires, réaliser des enquêtes approfondies sur les violations potentielles, et collaborer avec les autorités pertinentes au besoin

7.8 Directeur général de l’information pour la fonction publique

  • élaborer et tenir à jour des politiques opérationnelles, des normes, des lignes directrices et les meilleures pratiques de mise en œuvre axées sur la technologie, conformément à la présente Directive, le cas échéant
  • formuler des conseils et des directives pour les ministères et les organismes provinciaux au sujet des possibilités qui mettent l’IA à profit et respectent les principes de la Directive
  • respecter les exigences de la Directive sur l’IA lors de l’exploitation des programmes et des services technologiques de l’organisation, en collaboration avec les directions des ministères et les chefs d’organismes provinciaux
  • consulter le Comité des sous-ministres pour la prestation des services au sujet des questions sur l’utilisation de l’IA, des préoccupations liées à la cybersécurité et des tendances émergentes en matière d’IA
  • soumettre chaque année au Secrétariat du Conseil du Trésor un rapport sur les cas d’utilisation de l’IA, la gestion des risques et les risques liés à l’IA
  • examiner les renseignements supplémentaires reçus sur les risques, notamment ceux du Bureau du directeur général de la gestion des risques, afin d’appuyer la surveillance et le suivi des risques liés à l’IA
  • collaborer avec le sous-ministre associé, PAPD afin de faire de la sensibilisation et de promouvoir le respect des politiques, des normes et des lignes directrices sur l’IA dans l’ensemble du gouvernement de l’Ontario

7.9 Ensemble du personnel du ministère et de l’organisme provincial

  • Agir conformément à la présente Directive, ainsi qu’à toute autre politique, directive ou norme qui précise ses obligations relatives à une utilisation responsable de l’IA

8 Définitions

Dans le cadre de la présente Directive, ces termes ont la signification suivante :

Système d’intelligence artificielle (IA) : Un système d’IA est un système informatique qui, à des fins explicites ou implicites, tire des déductions des informations qu’il reçoit afin de produire des résultats comme des prévisions, du contenu, des recommandations ou des décisions. Ces résultats peuvent influencer les environnements physique ou virtuel. (Conforme à la description de l’Organisation de coopération et de développement économiques [OCDE], 2024.)

Cycle de vie de l’IA : Le cycle de vie de l’IA englobe les étapes suivantes, mais pas obligatoirement dans cet ordre : planification et conception, collecte et traitement de données, établissement et utilisation du modèle, vérification et confirmation, mise en service, et exploitation et surveillance (OCDE,  2019).

Cas d’utilisation de l’IA : Une application précise d’un système d’IA dans le cadre d’un projet ou d’une initiative (qu’il s’agisse d’une politique, d’un programme ou d’un service) pour atteindre un résultat précis.

Parti pris : Prédisposition, préjugé ou généralisation sur un groupe de personnes, en fonction de caractéristiques personnelles ou de stéréotypes (Glossaire des termes relatifs aux droits de la personne de la Commission ontarienne des droits de la personne, 2013).

Communauté : Dans le contexte de la Directive, la communauté fait référence aux groupes touchés, y compris les groupes habituellement marginalisés et les personnes systématiquement exclues du processus de prise de décisions, des institutions publiques, des services de base et d’une participation significative aux activités économiques, politiques et sociales.

Discrimination : Fait de traiter une personne injustement, soit en lui imposant un fardeau supplémentaire ou en lui refusant l’accès aux privilèges, aux bénéfices ou aux avantages offerts à d’autres, en raison de sa race, d’un handicap, de son sexe, ou d’autres caractéristiques personnelles indiquées dans le Code des droits de la personne de l’Ontario. La discrimination systémique fait référence aux comportements, politiques ou pratiques qui font partie des structures sociales ou administratives et dont l’ensemble crée ou perpétue une situation de désavantage relatif pour les personnes visées par les motifs prévus par le Code des droits de la personne de l’Ontario (Commission ontarienne des droits de la personne, 2024).

Risque : Effet de l’incertitude sur les objectifs. On peut le caractériser comme la possibilité d’une conséquence ou d’un événement négatif (menace) ou positif (occasion) qui s’écarte d’un résultat prévu (Directive sur la gestion globale des risques de la FPO, 2020).

Gestion des risques : Approche systématique permettant de déterminer la meilleure voie à suivre en cas d’incertitude par la détection, l’évaluation, la compréhension, la gestion, la surveillance et la communication des problèmes liés aux risques (Directive sur la gestion globale des risques de la FPO, 2020).

Validité : Confirmation, à l’aide de preuves objectives, du respect des exigences pour une utilisation ou une application précises souhaitées. La mise en œuvre de systèmes d’IA inexacts, peu fiables ou généralisés inadéquatement pour des données et des paramètres au-delà de leur entraînement crée des risques négatifs liés à l’IA et réduit sa fiabilité (National Institute of Standards and Technology, Département du Commerce des États-Unis, 2023).