Un objectif de protection des valeurs fondamentales de l’UE tout en restreignant la contrainte sur les développements technologiques
La proposition de règlement vise à harmoniser les règles concernant l’IA. Il est clairement admis que cette technologie offre des avantages économiques et sociaux considérables par notamment l’amélioration de prédictions, l’optimisation de processus, la fourniture de services personnalisés. Toutefois, elle est susceptible de présenter des risques. Ainsi, l’UE cherche à adopter une approche équilibrée pour préserver à la fois les développements technologiques et la compétitivité de l’UE en la matière tout en garantissant le respect des valeurs et des droits fondamentaux de l’UE tel que définis dans la Charte des droits fondamentaux de l’UE.
Les objectifs du règlement sont clairs :
- La sécurité et le respect des droits : Assurer que les systèmes d’IA mis sur le marché européen sont sûrs et respectent les droits fondamentaux des citoyens et les valeurs de l’UE ;
- La sécurité juridique : Garantir la sécurité juridique pour stimuler l’investissement et l’innovation dans le domaine de l’IA ;
- Une gouvernance renforcée : Renforcer la gouvernance et l’application effective des législations existentes en matière de droits fondamentaux et de sécurité applicable à l’IA ;
- Un marché unique : Faciliter le développement d’un marché unique pour des applications d’IA légales, sûres et dignes de confiance.
Les notions essentielles du Règlement IA
Avant d’entrer dans le vif du sujet, il apparaît indispensable de revenir sur quelques définitions de base posées par le législateur :
- Système d’intelligence artificielle (système d’IA) : un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I (de l’IA Act) et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ;
- Fournisseur : une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ;
- Utilisateur : toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant sous sa propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel.
Champ d’application de l’IA Act (Art. 2)
Champ territorial
Le législateur a ici repris le mécanisme d’extraterritorialité expérimenté précédemment avec le RGPD à savoir que le Règlement est applicable à :
- « aux fournisseurs, établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union;
- aux utilisateurs de systèmes d’IA situés dans l’Union;
- aux fournisseurs et aux utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union. »
Proportionnalité et gestion des risques
Le Règlement se fonde sur une approche par les risques qui n’impose des charges réglementaires que lorsqu’un système d’IA est susceptible de présenter des risques élevés pour les droits fondamentaux et la sécurité.
Dans cette optique, l’IA Act ne vise pas à s’appliquer à tous les Systèmes d’IA mais uniquement aux systèmes d’IA à haut risques.
Systèmes d’IA interdits
Certains systèmes d’IA sont, de par leur nature, interdits à savoir les systèmes portant sur :
- Les techniques subliminales pour altérer le comportement d’une personne ;
- L’exploitation des vulnérabilités (âge, handicap) pour altérer le comportement d’une personne ;
- L’évaluation de la fiabilité des individus en fonction de leur comportement social ou de traits de personnalité, par les pouvoirs publics ;
- L’utilisation de la biométrie en temps réel, dans des espaces accessibles au public à des fins répressives à moins que cette utilisation soit strictement nécessaire à :
- La recherche ciblée de victime, notamment disparition d’enfants,
- La prévention d’une menace pour la vie ou la sécurité de personnes physiques ou prévention d’une attaque terroriste,
- La détection, localisation, identification ou poursuite contre le suspect ou auteur d’une infraction punie d’une peine d’au moins 3 ans.
Les systèmes d’IA à haut risque
Le Règlement vise spécifiquement les systèmes d’IA à haut risque. Il importe donc de comprendre la classification de ces systèmes d’IA et les conséquences que cela entraine en termes de conformité.
Classification d’un Système d’IA à haut risque
Pour qu’un système soit classifié comme étant à haut risque, il doit
- Soit répondre à des conditions cumulatives :
- Système utilisé comme produit de sécurité ou composant de ce produit ;
- Ce produit est soumis à une évaluation de la conformité par un tiers en vue de sa mise sur le marché.
- Soit entrer dans la liste dressée par la Commission
Hors des conditions listées ci-dessus, la Commission a dressé une liste des systèmes considérés comme étant à haut risques. Cette liste a vocation à être régulièrement actualisée afin de tenir compte des évolutions technologiques en la matière.
Exigences réglementaires vis-à-vis des systèmes d’IA à haut risques
En présence de systèmes d’IA à haut risques, les fournisseurs et/ou utilisateurs vont devoir se conformer à une série d’exigences réglementaires :
- Mise en œuvre d’un système de gestion des risques, itératif et périodique, sur l’ensemble du cycle de vie du système d’IA assorti d’un mécanisme permettant :
- L’identification et l’analyse des risques connus et prévisibles,
- L’estimation et l’évaluation des risques susceptibles d’apparaître dans des conditions de mauvaise utilisation de l’IA,
- L’évaluation d’autres risques susceptibles d’apparaître,
- L’adoption de mesures appropriées de gestion des risques.
L’objectif est de mettre en œuvre des mesures visant à diminuer autant que possible le risque résiduel. Des tests sont réalisés, avant la mise sur le marché, afin de garantir que les systèmes d’IA fonctionnent conformément à leur destination. Ce système n’est pas sans rappeler les Analyses d’Impact sur la Protection des Données prévues par le RGPD.
- Gouvernance des données : Les systèmes d’IA qui impliquent l’entraînement de modèles au moyen de données sont développés sur la base de jeux de données d’entraînement, de validation et de test répondant à une série d’exigences définies dans le Règlement.
- Documentation technique : A l’instar de l’accountability du RGPD, les Systèmes d’IA à haut risque doivent être assorties d’une documentation permettant de démontrer qu’ils satisfont aux exigences réglementaires.
- Enregistrement : Des fonctionnalités d’enregistrement périodique des évènements par la création de journaux doivent être prévus afin de garantir la traçabilité du fonctionnement du système d’IA.
- Transparence et information des utilisateurs : Un certain niveau de transparence est requis pour permettre aux utilisateurs d’un système d’IA d’interpréter les résultats et de les utiliser de manière appropriée.
- Contrôle humain : Le système d’IA doit être doté d’un moyen de contrôle effectif par des personnes physiques pendant sa période d’utilisation afin de prévenir ou réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux.
- Exactitude, robustesse et cybersécurité : Lors de leur conception et compte tenu de leur destination, les systèmes d’IA à haut risque sont développés dans l’optique d’atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, et de fonctionner de manière cohérente à cet égard tout au long de leur cycle de vie. Les obligations listées se déclinent ensuite entre fournisseur et utilisateur d’un système d’IA à haut risques.
Certificat de conformité, marquage CE et enregistrement
La conformité des systèmes d’IA à haut risque fait l’objet d’une évaluation par des organismes désignés délivrant des certificats de conformité.
Le règlement sur l’IA crée par ailleurs un marquage CE apposé de manière visible, lisible et indélébile sur les systèmes d’AI à haut risque. Ce marquage est obligatoire et est fourni par des organismes désignés.
Il existe également une obligation d’enregistrer les systèmes autonomes d’IA à risque élevé dans une base de données européenne.
Gouvernance
Au niveau européen, un Comité européen de l’intelligence artificielle est créé et qui a pour objectif de fournir conseils et assistance à la Commission européenne.
Son rôle vise également à coordonner et contribuer à une coopération efficace entre les autorités nationales et la Commission.
Sur le plan national, des autorités vont être désignées afin d’assurer l’application et la mise en œuvre du règlement. En France, la CNIL s’est positionnée dans un avis conjoint avec ses homologues européens. Le Conseil d’État recommande également que la CNIL devienne l’autorité nationale de contrôle des système d’IA dans un avis de septembre 2022 en rappelant « la très forte adhérence entre la régulation des systèmes d’IA et celle des données, en particulier des données à caractère personnel ». Pour l’heure, le sujet n’a pas encore été tranché.
Sanctions
Les infractions au Règlement, en fonction de leur nature et sur le même principe que le RGPD, sont les suivantes (le montant le plus élevé étant retenu):
- jusqu’à 30 000 000 EUR ou jusqu’à 6 % du chiffre d’affaires annuel mondial,
- jusqu’à 20 000 000 EUR ou jusqu’à 4 % du chiffre d’affaires annuel mondial,
- jusqu’à 10 000 000 EUR ou jusqu’à 2 % du chiffre d’affaires annuel mondial.
Calendrier
Le texte a été adopté le 2 février 2024 et sera publié dans les 20 jours suivants l’adoption. Une fois cette étape passée, le Règlement sera applicable 24 mois après l’entrée en vigueur du texte.
Par dérogation, les dispositions relatives :
- A la gouvernance (Comité européen et autorités nationales) seront applicables 3 mois après l’entrée en vigueur du texte,
- Aux sanctions seront applicables 12 mois après l’entrée en vigueur du texte.
