Règlement européen
sur l’intelligence artificielle
La Commission européenne a présenté le 21 avril 2021 une proposition de règlement visant à établir des règles harmonisées en matière d’Intelligence Artificielle (IA). Deux textes ont ainsi été publiés :
- Un projet de Règlement concernant une approche européenne de l’intelligence artificielle ;
- Un plan coordonné sur l’intelligence artificielle.
La Commission européenne réaffirme ainsi l’importance stratégique de l’IA pour l’Europe et la nécessité d’encadrer son usage dans les différents secteurs d’application pour prévenir les risques et dérives inhérents à ces technologies.
Cette proposition s’inscrit dans le prolongement de la publication par la Commission Européenne le 19 février 2020 du Livre Blanc sur l’intelligence artificielle visant à promouvoir le recours à l’IA et de tenir compte des risques associés. Elle fait également suite aux trois résolutions adoptées par le Parlement européen le 20 octobre 2020 en matière d’IA, et les travaux en cours du Conseil de l’Europe.
Le champ d’application
La proposition de règlement a fixé un champ d’application assez large, s’étendant aux :
- Prestataires mettant sur le marché ou mettant en service des systèmes d’IA dans l’Union, que ces prestataires soient établis dans l’Union ou dans un pays tiers ;
- Utilisateurs de systèmes d’IA situés dans l’Union ;
- Fournisseurs et utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les données de sortie produites par le système sont utilisées dans l’Union.
Une approche fondée sur les risques
La Commission aurait pu établir un cadre réglementaire fondé sur une approche sectorielle (en fonction du secteur industriel concerné) ou juridique (en fonction de la branche de droit concernée), mais elle a choisi une approche fondée sur les risques présentés par les utilisations de l’IA.
La proposition de la Commission distingue ainsi les utilisations interdites car présentant des risques inacceptables (1.), les utilisations réglementées car présentant des risques élevés (2.) et les utilisations soumises à des obligations de transparence car présentant certains risques de manipulation (3.).
1. Utilisations interdites et risques inacceptables
Les systèmes d’IA considérés comme une menace évidente pour la sécurité, les moyens de subsistance et les droits des personnes seront interdits. La proposition de règlement établit une liste d’usages interdits (article 5 § 1) qui sont considérés comme contrevenant aux valeurs de l’Union :
- La mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA ayant le potentiel de manipuler les personnes au moyen de techniques subliminales afin de modifier leur comportement d’une manière susceptible de leur causer ou de causer à une autre personne un préjudice ;
- La mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA susceptibles d’exploiter les vulnérabilités de groupes de personnes spécifiques afin de modifier leur comportement d’une manière susceptible de leur causer ou de causer à une autre personne un préjudice ;
- La mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA par des autorités publiques à des fins de scoring social basé sur l’IA ;
- Les utilisations de systèmes d’identification biométrique à distance et en temps réel dans les espaces accessibles au public à des fins répressives.
2. Utilisations réglementées présentant des risques élevés
La proposition de règlement prévoit aussi l’application de règles spécifiques aux systèmes d’IA présentant un risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes.
L’utilisation de tels systèmes d’IA est ainsi permise sous réserve du respect de certaines exigences obligatoires et d’une évaluation de conformité ex ante (article 8 et suivants), parmi lesquelles :
- L’établissement, la mise en œuvre, la documentation et la maintenance d’un système adéquat d’évaluation et d’atténuation des risques ;
- L’utilisation d’ensembles de données répondant à différents critères de qualité (représentatifs, non biaisés, adaptés aux spécificités géographiques ou comportementales, etc.) ;
- L’établissement d’une documentation détaillée avant la mise sur le marché ou la mise en service et son maintien ;
- La capacité d’enregistrement automatique d’événements pendant le fonctionnement des systèmes d’IA afin de garantir la traçabilité des résultats ;
- L’assurance d’un fonctionnement suffisamment transparent pour permettre aux utilisateurs d’interpréter les résultats du système et de les utiliser de manière appropriée ;
- La supervision effective par des personnes physiques pendant la période d’utilisation du système d’IA pour réduire les risques ; et
- L’obtention d’un niveau élevé d’exactitude, de robustesse, de cybersécurité, et de cohérence.
3. Utilisations présentant certains risques de manipulation
L’article 52 régule trois types de systèmes d’IA, qu’ils soient à haut risque ou non : les systèmes destinés à interagir avec des humains (§ 1), les systèmes de reconnaissance des émotions de catégorisation biométrique (§ 2) et les systèmes dits de « deep fake » qui manipulent une image, un son ou une vidéo qui ressemblent à des personnes, choses ou autres entités ou événements existants afin d’en générer un contenu apparaissant à tort comme étant la réalité (§3).
Concernant la gouvernance, le règlement propose la création d’un comité européen de l’IA composé des représentants des Etats membres et de la Commission qui sera également chargé de stimuler l’élaboration de normes pour l’IA (articles 56 à 58). A l’échelle nationale, chaque Etat membre doit désigner une autorité nationale compétente dans le but de superviser l’application et la mise en œuvre du règlement (article 59).
Il est également prévu la mise en place d’autorités de surveillance du marché chargées du contrôle ex post du respect des obligations et des exigences pour tous les systèmes d’IA à haut risque déjà mis sur le marché.
Enfin, la proposition de règlement prévoit des sanctions. Les pratiques prohibées peuvent entraîner le prononcé d’une amende administrative pouvant aller jusqu’à 30 millions d’euros ou, si l’auteur est une entreprise, jusqu’à 6 % de son chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu (art. 71, § 3, a). Si l’auteur de l’infraction est une institution, agence ou organe de l’Union, le montant peut atteindre 500 000 euros.
Quelles sont les prochaines étapes ? Le Parlement et les Etats membres doivent désormais adopter la proposition de règlement dans le cadre de la procédure législative ordinaire. Le cas échéant, aux termes d’un délai de 24 mois suivant son entrée en vigueur, le règlement sera directement applicable dans toute l’UE.
Cécile Vernudachi
Avocat associée IP/IT/Data