Un cadre juridique européen pour l’intelligence artificielle : une première mondiale !

Les avocates Christiane Féral-Schuhl et Justine Sinibaldi détaillent ici le projet de réglementation européenne, basée sur une approche par les risques, en matière d’IA.

À l’issue de deux années de travaux très denses, la Commission européenne a présenté fin avril 2021 sa proposition de Règlement en matière d’intelligence artificielle [Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union du 21 avril 2021, COM(2021) 206 final, 2021/0106(COD)]. Ce texte, actuellement en discussion au Parlement européen et au Conseil de l’Union européenne, constituerait, s’il est adopté, une première mondiale, répondant à l’objectif de faire de l’Union européenne « un acteur mondial de premier plan dans le développement d’une intelligence artificielle sûre, fiable et éthique » [Résolution du Parlement européen du 20 octobre 2020 contenant des recommandations à la Commission concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes, 2020/2012(INL)].

Le sujet n’est pas nouveau puisque, dès 2017, le Parlement européen avait envisagé la création d’une personnalité juridique spécifique aux robots autonomes. Si cette voie a été abandonnée, la Commission européenne a réaffirmé sa volonté d’encadrer les risques associés à l’utilisation de l’IA, tout en favorisant son développement au sein du marché européen. La présidente Von der Leyen a ainsi annoncé dans ses orientations politiques pour la Commission européenne « une proposition législative en vue d’une approche européenne coordonnée relative aux implications humaines et éthiques de l’intelligence artificielle » [Orientations politiques pour la prochaine Commission européenne 209-2024, Mme Ursula von der Leyen].


De nombreux travaux ont ainsi été menés au cours des deux dernières années, tant par le Parlement européen [Par ex. résolution du Parlement européen du 20 octobre 2020 concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes, 2020/2012(INL)] que par la Commission européenne. Celle-ci a mené une vaste consultation des principales parties intéressées, y compris des universitaires, entreprises, partenaires sociaux, organisations non gouvernementales, experts de haut niveau sur l’IA ainsi qu’une analyse d’impact des différentes options stratégiques possibles en termes d’intervention réglementaire (labellisation non obligatoire, approche sectorielle …).

C’est en fin de compte une approche proportionnée fondée sur les risques qui a été retenue par la Commission. Elle consiste en un traitement gradué en fonction du niveau de risques présenté par le système d’IA concerné afin de répondre au double objectif affiché par la Commission européenne [Livre blanc de la Commission intitulé « Intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance », COM(2020) 65 final, 2020] : promouvoir le recours à l’IA et tenir compte des risques associés à certaines utilisations de cette nouvelle technologie.

Tout d’abord, à l’instar du RGPD, la proposition de règlement prévoit des règles d’application extraterritoriale : (i) aux fournisseurs établis dans l’Union européenne, mais aussi à ceux établis dans un pays tiers qui mettent sur le marché des systèmes d’IA dans l’Union européenne (ii) aux utilisateurs de systèmes d’IA situés dans l’UE, et (iii) aux fournisseurs et utilisateurs de systèmes d’IA situés dans un pays tiers, dès lors que les résultats générés par le système sont utilisés dans l’UE.


Ensuite, trois niveaux de risque des systèmes d’IA sont définis, obéissant à des régimes différents.

Les pratiques d’IA présentant des risques inacceptables car contraires aux valeurs de l’Union sont interdites. Il s’agit notamment (i) des systèmes d’IA altérant le comportement des personnes par le recours à des techniques subliminales ou exploitant les vulnérabilités liées à l’âge ou au handicap d’un groupe de personne (ii) du recours par les pouvoirs publics à des systèmes d’IA évaluant ou classant la fiabilité des personnes en fonction de leur comportement social, ou encore (iii) de l’utilisation de systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives. Cette liste pourrait toutefois être étendue suite à l’avis conjoint du Comité européen à la protection des données (EDPB) et du Contrôleur européen de la protection des données (EDPS) du 18 juin 2021 [Avis conjoint 05/2021 de l’EDPB et du CEPD sur la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées sur l’intelligence artificielle (législation sur l’intelligence artificielle), 18 juin 2021] qui estiment notamment que toutes les techniques d’IA de notation sociale ou de reconnaissance automatisée des caractéristiques humaines dans les espaces accessibles au public devraient être interdites.

Viennent ensuite les systèmes d’IA « à haut risque », c’est-à-dire ceux qui présentent un risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes physiques. Il s’agit notamment des technologies d’IA utilisées dans les infrastructures critiques (ex. transport), l’éducation ou la formation professionnelle, les services privés et publics essentiels (ex. évaluation du risque de crédit), les domaines du maintien de l’ordre, la gestion de la migration, de l’asile et des contrôles aux frontières ou encore l’administration de la justice, de même que les technologies d’IA utilisées dans les composants de sécurité des produits (ex. jouets, dispositifs médicaux, véhicules …).

Ces systèmes d’IA à haut risque peuvent être mis sur le marché sous réserve du respect de certaines obligations et d’une évaluation préalable de la conformité qui pourra être fondée, selon le cas, soit sur un contrôle interne, soit sur une certification par un organisme notifié devant respecter des obligations d’indépendance, de compétence et d’absence de conflit d’intérêts. Parmi les obligations des systèmes d’IA à haut risque, on notera (i) l’établissement d’une documentation technique démontrant que le système satisfait aux exigences du règlement (ii) la fourniture d’informations aux utilisateurs sur les caractéristiques, capacités et limites de performance du système, les mesures de contrôle humain mises en oeuvre et la durée de vie attendue du système (iii) ainsi que la mise en oeuvre et le maintien à jour d’un système de gestion des risques.


Ce système de gestion des risques est comparable aux analyses d’impact menées par les responsables de traitement pour les traitements de données à caractère personnel susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Il consiste en effet à identifier et évaluer les risques connus et prévisibles du système et à adopter des mesures appropriées de gestion des risques. À cet égard, l’EDPB et l’EDPS estiment que la classification du système d’IA à risque élevé devrait déclencher une présomption de risque élevé au titre du RGPD, dans la mesure où des données à caractère personnel sont traitées.


La proposition de règlement prévoit aussi que certains systèmes d’IA présentant des risques spécifiques de manipulation (ex. deepfake audio ou vidéo) sont soumis à des obligations de transparence (ex. pour préciser que les contenus ont été générés ou manipulés artificiellement).


Enfin, la proposition de règlement prévoit la possibilité pour les fournisseurs de systèmes d’IA ne présentant pas de risques élevés de définir des codes de conduite destinés à appliquer volontairement des exigences obligatoires pour les systèmes d’IA à haut risque.
En termes de sanctions, les violations du règlement pourront donner lieu à de très lourdes amendes administratives (jusqu’à 30 millions d’euros ou 6% du chiffre d’affaires annuel mondial), un niveau de sanction encore plus élevé que celui prévu par le RGPD. Or, l’EDPB et EDPS ont souligné, dans leur avis conjoint, l’enjeu majeur d’articulation de ce texte avec le RGPD, la classification d’un système d’IA comme étant à haut risque ne signifiant pas nécessairement qu’il soit licite en soi et qu’il puisse être déployé par l’utilisateur en tant que tel. Ce dernier sera dans la plupart des cas responsable des traitements de données à caractère personnel mis en oeuvre, tenu de respecter les obligations prévues par le RGPD avant la mise en oeuvre d’un système d’IA appelé à exploiter des données personnelles.

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.

Rechercher
Fermer ce champ de recherche.