Exigences d'évaluation d'impact algorithmique pour le gouvernement de la Colombie-Britannique

Le cadre d'évaluation d'impact algorithmique (ÉIA) de la Colombie-Britannique exige que les ministères gouvernementaux évaluent les systèmes de prise de décision automatisée avant leur déploiement. Le Code numérique publié en 2021 établit des évaluations de risques obligatoires pour les systèmes d'IA qui affectent les services aux citoyens sous la Directive du Conseil du Trésor 2021-001, avec des processus spécifiques de documentation et d'approbation selon les niveaux d'impact.

Comprendre le cadre d'évaluation d'impact algorithmique de la C.-B.

Le gouvernement de la C.-B. a introduit son Code numérique suivant la Directive du Conseil du Trésor 2021-001, qui rend obligatoires les évaluations d'impact pour les systèmes de prise de décision automatisée. Le cadre s'applique à tout système utilisant des algorithmes pour prendre ou assister dans des décisions affectant l'accès des résidents de la C.-B. aux services gouvernementaux.

L'approche de la C.-B. diffère des exigences fédérales sous la Directive sur la prise de décision automatisée du Secrétariat du Conseil du Trésor du Canada. Les ministères provinciaux doivent conduire leurs propres évaluations utilisant des critères spécifiques à la C.-B. axés sur l'impact citoyen plutôt que sur l'efficacité opérationnelle.

« Sous la Directive du Conseil du Trésor 2021-001, les systèmes de prise de décision automatisée dans le gouvernement doivent subir une évaluation d'impact obligatoire avant le déploiement, avec les systèmes à haut risque nécessitant l'approbation du sous-ministre et des révisions de conformité annuelles pour protéger les droits individuels et assurer la responsabilité algorithmique. »

Le cadre couvre trois catégories de risque : impact faible, moyen et élevé. Les systèmes à impact élevé nécessitent l'approbation du sous-ministre et des révisions annuelles. Les systèmes à impact moyen ont besoin de l'approbation du sous-ministre adjoint et d'évaluations bisannuelles.

---

Composants ÉIA obligatoires pour les systèmes gouvernementaux de la C.-B.

Le modèle d'ÉIA de la C.-B. exige une documentation complète dans huit domaines principaux selon le Code numérique. Chaque évaluation doit inclure des mesures de transparence algorithmique, des protocoles de gouvernance des données et des mécanismes de recours pour les citoyens.

Exigences d'évaluation des risques :

• Impact sur les droits et libertés individuels
• Potentiel de résultats discriminatoires
• Sensibilité des données et implications de confidentialité sous la FIPPA
• Fiabilité du système et taux d'erreur
• Capacités de supervision humaine et d'intervention

Normes de documentation :

• Logique algorithmique et critères de décision
• Sources de données d'entraînement et méthodes de validation
• Mesures de performance et d'exactitude
• Stratégies de détection et d'atténuation des biais
• Procédures de surveillance et d'audit

L'évaluation doit identifier toutes les sources de données, incluant les jeux de données tiers, et documenter la conformité avec la Loi sur l'accès à l'information et la protection de la vie privée (FIPPA) de la C.-B. Les systèmes traitant des renseignements personnels nécessitent des évaluations d'impact sur la vie privée additionnelles sous l'article 69 de la FIPPA.

« Le Code numérique de la C.-B. rend obligatoire que chaque système de décision automatisée doit inclure des processus de révision humaine significatifs et des mécanismes d'appel clairs pour les individus affectés, avec des procédures de recours documentées répondant aux exigences d'accès de l'article 25 de la FIPPA. »

---

Échéanciers de conformité et processus d'approbation

Les ministères de la C.-B. doivent compléter les ÉIA avant l'approvisionnement, le développement ou le déploiement de systèmes sous la Directive du Conseil du Trésor 2021-001. L'échéancier d'approbation varie selon la classification de risque, avec les systèmes à impact élevé nécessitant des périodes de révision de 90 jours et une consultation des intervenants.

Calendrier de mise en œuvre :

• Soumission initiale d'ÉIA : 60 jours avant le déploiement prévu
• Révision ministérielle et rétroaction : délai de 30 jours
• Soumission révisée (si requise) : 15 jours
• Approbation finale et autorisation de déploiement : 15 jours

Les systèmes à impact élevé déclenchent des exigences additionnelles incluant la consultation publique, les protocoles de consultation autochtone et les révisions d'accessibilité sous la Loi sur l'accessibilité de la Colombie-Britannique. Ces systèmes nécessitent aussi des audits de conformité annuels et des rapports de performance trimestriels.

Les systèmes à impact moyen suivent des processus simplifiés mais nécessitent toujours la révision de l'agent de protection de la vie privée départemental et la vérification de conformité. Les systèmes à impact faible peuvent procéder avec des ÉIA complétées déposées à des fins d'audit.

« Le processus d'évaluation sous le cadre de la C.-B. assure que les systèmes de décision automatisée répondent aux exigences de transparence sous l'article 4 de la FIPPA, avec une logique de décision documentée permettant aux citoyens de comprendre comment les systèmes algorithmiques affectent leur accès aux services gouvernementaux. »

---

Considérations de souveraineté des données pour l'IA gouvernementale de la C.-B.

Le cadre d'ÉIA de la C.-B. intersecte avec des exigences plus larges de souveraineté des données affectant les systèmes d'IA gouvernementaux. Sous l'article 30.1 de la FIPPA, les renseignements personnels doivent demeurer au Canada sauf si des exceptions spécifiques s'appliquent. Cela crée une complexité additionnelle pour les systèmes d'IA utilisant le traitement infonuagique ou des algorithmes tiers.

Le Cadre provincial de confiance et sécurité numériques exige que les systèmes gouvernementaux subissent des évaluations de sécurité, incluant la vérification de résidence des données. Les systèmes d'IA traitant des informations sensibles doivent démontrer la conformité avec les exigences de confidentialité et de sécurité.

Exigences clés de souveraineté :

• Résidence canadienne des données pour tous renseignements personnels selon l'article 30.1 de la FIPPA
• Vérification de la conformité du fournisseur de services avec la loi canadienne
• Évaluation des risques de divulgation étrangère sous des lois comme le US CLOUD Act
• Documentation des protections de transfert de données et protocoles de chiffrement

Les entrepreneurs gouvernementaux fournissant des services d'IA doivent attester de la résidence canadienne des données et fournir une documentation détaillée sur la confidentialité et la sécurité. Cette exigence a mené certains ministères à rechercher des plateformes d'IA canadiennes comme Augure pour assurer une conformité réglementaire complète et éliminer les risques de divulgation étrangère.

---

Impact industriel et défis de mise en œuvre

Les exigences d'ÉIA de la C.-B. ont créé des effets d'entraînement dans le secteur public plus large et les industries réglementées. Les autorités de santé, districts scolaires et sociétés d'État adoptent des cadres similaires pour s'aligner avec les standards provinciaux.

Le secteur juridique a vu une demande accrue d'expertise en conformité alors que les organisations naviguent des exigences se chevauchant. Les cabinets d'avocats utilisant des outils d'IA doivent considérer les principes d'ÉIA aux côtés des exigences d'évaluation d'impact sur la vie privée de l'article 93 de la Loi 25 du Québec et les obligations de responsabilité du Principe 4.3 de la PIPEDA quand ils servent des clients gouvernementaux.

Les organisations de services financiers travaillant avec des contrats du gouvernement de la C.-B. font face à des exigences de diligence raisonnable additionnelles. Les systèmes d'IA utilisés dans l'administration des prestations, la détection de fraude ou le filtrage d'éligibilité nécessitent une documentation complète de transparence algorithmique et de test de biais.

Défis d'implémentation communs :

• Résistance des fournisseurs aux exigences de transparence algorithmique sous le Code numérique
• Difficulté d'obtenir la documentation des données d'entraînement de tiers
• Contraintes de ressources pour la surveillance continue et les mises à jour d'évaluation
• Intégration avec les processus existants de révision de confidentialité et sécurité selon l'article 69 de la FIPPA

Les organisations se tournent de plus en plus vers des plateformes d'IA canadiennes qui intègrent la conformité dans leur architecture plutôt que d'adapter des systèmes étrangers. La plateforme conçue au Canada d'Augure répond à ces exigences nativement par l'infrastructure domestique et les fonctionnalités de conformité ÉIA intégrées, éliminant plusieurs points de friction réglementaire.

---

Mécanismes d'application et mesures de responsabilité

Le Code numérique de la C.-B. inclut des dispositions d'application par le Dirigeant principal de l'information et les structures de responsabilité ministérielles individuelles. La non-conformité peut déclencher la suspension de système, l'intervention ministérielle et des ordres de conformité formels.

Le Bureau du Commissaire à l'information et à la protection de la vie privée de la C.-B. a indiqué que la conformité ÉIA relève de son mandat de surveillance selon l'article 42 de la FIPPA. L'échec de conduire des évaluations appropriées pourrait constituer des violations de confidentialité sous la FIPPA, avec des pénalités potentielles jusqu'à 100 000 $ pour les individus et 500 000 $ pour les organisations sous l'article 61.

Structure de responsabilité :

• DPI ministériel : Responsable de la surveillance de conformité départementale
• Sous-ministre : Responsable des approbations de systèmes à impact élevé selon la Directive du Conseil du Trésor 2021-001
• Dirigeant principal de l'information : Supervision provinciale et autorité d'application
• Commissaire à la protection de la vie privée : Investigation de plaintes et évaluation de pénalités sous les articles 42-61 de la FIPPA

Le cadre inclut des protections de dénonciation pour les employés gouvernementaux rapportant la non-conformité sous la Loi sur la divulgation d'intérêt public. Cela crée un incitatif additionnel pour des processus d'évaluation approfondis et des protocoles de surveillance continue.

Des audits récents ont trouvé une implémentation d'ÉIA incohérente entre les ministères, menant à des exigences de formation améliorées et des outils d'évaluation standardisés. Le gouvernement développe une vérification de conformité automatisée pour réduire les fardeaux d'évaluation tout en maintenant la rigueur.

---

Regard vers l'avenir : évolution des ÉIA et meilleures pratiques

La C.-B. continue de raffiner son cadre d'ÉIA basé sur l'expérience d'implémentation et les technologies d'IA émergentes. Les mises à jour planifiées incluent des directives spécifiques pour les systèmes d'IA générative, des exigences améliorées de détection de biais et des processus simplifiés pour les applications à faible risque.

La province explore des accords de reconnaissance mutuelle avec d'autres juridictions canadiennes pour réduire les évaluations dupliquées pour les systèmes partagés. Cela pourrait créer un cadre national similaire aux exigences fédérales mais avec des variations provinciales.

Les organisations se préparant au déploiement d'IA devraient commencer les processus d'évaluation tôt et maintenir une documentation complète. La tendance vers une transparence et responsabilité accrues ne risque pas de s'inverser, rendant les pratiques de conformité rigoureuses essentielles pour le succès à long terme.

Pour les organisations canadiennes naviguant ces exigences complexes, les plateformes conçues avec la souveraineté et la conformité en tête offrent des avantages significatifs. Apprenez-en plus sur les solutions d'IA conformes à augureai.ca.