Le 21 avril 2021, la Commission Européenne a présenté une proposition de règlement sur l’intelligence artificielle (également appelé « Artificial Intelligence Act »).

L’Union Européenne cherche à se positionner comme un leader politique en matière de technologies. Après avoir influencé le monde en matière de données personnelles avec le RGPD, l’UE cherche aujourd’hui à protéger les ressortissants européens en s’assurant que l’intelligence artificielle est déployée dans le respect de ses valeurs éthiques et de ses droits fondamentaux.

 

Ce projet de règlement s’inscrit dans la continuité des travaux européens sur l’IA initiés par le livre blanc du 19 février 2020, la consultation publique ouverte du 19 février au 14 juin 2020, les diverses résolutions adoptées par le Parlement européen le 20 octobre 2020 en matière d’éthique, de responsabilité et de propriété intellectuelle (notre article ICI) et enfin les conclusions de la Commission du 21 octobre 2020 qui appelaient à une IA garante des droits fondamentaux.

 

L’Artificial Intelligence Act a pour objet de :

• GARANTIR que les systèmes d’IA sur le marché de l’Union sont sûrs et conformes à la législation existante sur les droits fondamentaux et les valeurs de l’Union;
• GARANTIR la sécurité juridique pour faciliter l’investissement et l’innovation dans l’IA ;
• AMÉLIORER la gouvernance et l’application effective de la législation et des exigences de sécurité applicables aux systèmes d’IA ;
• CONSOLIDER un marché unique pour les applications d’IA licites, sûres et dignes de confiance afin de réduire et d’empêcher la fragmentation du marché européen.

 

Ce Projet d’Artificial Intelligence Act a vocation à s’appliquer aux :

• Fournisseurs d’IA s’ils mettent en service une IA dans l’Union Européenne;
• Utilisateurs d’IA situés dans l’Union Européenne;
• Fournisseurs et utilisateurs d’IA situés dans des pays tiers qui utiliseraient les résultats d’une IA dans l’UE.

 

Ces critères d’applicabilité rappellent ceux du RGPD. C’est d’ailleurs l’une des nombreuses similitudes avec règlement sur les données personnelles, dont l’Artificial Intelligence Act semble vouloir reprendre la structure et la philosophie.

 

 

1. Une règlementation par le risque

L’Artificial Intelligence Act tend à définir les termes et l’objet de la règlementation de la manière la plus neutre possible sur le plan technologique. L’idée est d’éviter les conséquences qu’aurait une évolution rapide de la technologie sur la règlementation (Article 3)[1].

 

L’ensemble de ce projet repose sur une approche fondée sur le risque. L’Artificial Intelligence Act classe les utilisations de l’IA selon qu’elles créent un risque inacceptable, élevé, ou faible.

 

Cette approche amène à une prohibition de certains types d’IA, qui créent un risque inacceptable (Article 5). Sont ainsi interdite par principe :

• Les IA utilisant des techniques de manipulation subliminale[2] des personnes ou l’exploitation des vulnérabilités de groupes sensibles d’une manière susceptible de leur causer ou à causer à une autre personne un préjudice moral ou physique.
• Les IA qui créent des systèmes de notation généralisée des populations et qui seraient développées par les autorités publiques. Sont ici visés les systèmes tels que le tristement célèbre du « système de crédit social » mis en place en Chine.

• Les IA contenant des systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins de maintien de l’ordre.

 

Cette prohibition encadre notamment les systèmes de reconnaissance faciale. A ce titre, ce type de système est autorisé, après autorisation d’une autorité judiciaire, dans des cas exceptionnels tels que la recherche de victimes de crime (en cas de kidnapping par exemple), la prévention d’une attaque terroriste imminente ou l’identification d’un auteur d’infraction pénale[3].

 

Sans être prohibées, certaines IA sont considérées à « risque élevé [4]» (Article 6), notamment les systèmes d’IA qui sont destinés à être utilisés comme des composants de sécurité de produits ou encore certains systèmes d’IA[5] liés à l’Identification biométrique, l’éducation, le management des systèmes critiques, le judiciaire, etc.

 

Ces systèmes d’IA à « risque élevé » sont soumis à des obligations particulières (Articles 8 à 15), notamment en termes de gestion des risques, d’entrainement des modèles d’IA, de documentation ou encore de sécurité. La transparence étant au cœur des préoccupations, ces obligations comprennent aussi la tenue d’un registre des « logs » du dispositif d’IA et une obligation d’information des utilisateurs.

Sur ce point, on peut s’interroger sur l’applicabilité d’une telle obligation s’agissant des IA comme celles utilisant le « deep learning » qui s’apparente à des « black box » et dont les décisions ne peuvent expliquées ou tracées.

 

Enfin, le concept de « Garantie humaine » selon lequel l’homme doit superviser l’IA est requis pour ce type d’IA. A ce titre, des obligations de transparence renforcées sont instaurées pour certaines IA qui interagissent avec les humains, utilisent des données biométriques, détecte des émotions manipulent des contenus comme les « deep fakes » (Article 52).

 

Les fournisseurs, importateur et les utilisateurs de ces systèmes d’IA à « risque élevé » sont également directement soumis à une série d’obligations (Articles 16 à 29) et peuvent faire l’objet d’un contrôle par une autorité nationale (Articles 30 à 39). Il conviendra de s’interroger en temps voulu sur l’autorité qui sera en charge de ces questions. S’agira-t-il d’une autorité ad hoc, ou la CNIL cherchera-t-elle en France à élargir son spectre d’influence sur les questions liées à l’intelligence artificielle. Ici encore, la porosité entre les sujets, dont une partie dont la reconnaissance faciale est déjà être les mains de l’autorité française, semble faire de la CNIL et des autorités similaires en Europe les candidats naturels à la mise en œuvre de ce projet de règlement.

 

A ce titre, toujours sur le même modèle que le RGPD qui a notamment récemment lancé la certification (voir Europrivacy), l’Artificial Intelligence Act prévoit également des procédures de certification ayant pour objet de garantir aux utilisateurs le respect de cette règlementation (Articles 40 à 51).

 

2. Une réglementation par l’expérimentation

L’Artificial Intelligence Act encourage les autorités nationales compétentes à mettre en place des « Sandbox » (bacs à sables) réglementaires de l’IA afin de tester des technologies innovantes pendant une durée limitée, sur la base d’un plan d’essai convenu avec les autorités compétentes (Articles 53, 54 et 55).

 

Cette approche est nécessaire afin d’éviter de brider l’innovation par une réglementation inadaptée.

C’est d’ailleurs ce que nous préconisions dès mars 2017 à la direction du groupe sur les enjeux juridiques dans le Rapport France IA : « les initiatives de régulation de l’IA, pour autant qu’elles se révèleraient nécessaires, ne devraient intervenir qu’une fois une certaine expérience acquise et ce, afin d’éviter de brider l’innovation. Dans cette perspective, l’innovation réglementaire aurait toute sa place et la France pourrait privilégier, au côté de la co-régulation, une initiative de règlementation expérimentale telle que prévue à l’article 37-1 de la Constitution Française. Ce droit à l’expérimentation apparaît un outil intéressant pour appréhender un domaine d’innovation forte telle que l’IA. Il pourrait permettre, par exemple, de tester la mise en place de réglementations dans un secteur donné »[6].

 

Si cela permet d’atténuer les craintes relatives à l’approche réglementaire excessive de l’Union Européenne, il sera nécessaire de conserver une approche pragmatique au cours de la construction de l’encadrement juridique de l’IA, pour ne pas faire peser trop de contraintes sur les initiatives technologiques européennes.

 

3. Une gouvernance européenne de l’IA

La proposition éminemment politique de cette nouvelle réglementation s’accompagne d’une gouvernance européenne de l’IA, dont la politique sera dirigée par un Conseil Européen de l’Intelligence Artificielle, composé de représentants des États membres et de la Commission. Ce conseil assurera la coopération des autorités nationales de contrôle et coordonnera l’analyse de la Commission par le partage d’expertise, des recommandations ou des avis. (Articles 56 à 59)

 

La proximité avec le RGPD dans la philosophie du texte apparait encore avec le rôle du Contrôleur Européen de la Protection des Données[7] qui agira en tant qu’autorité compétente pour le contrôle des institutions, agences et organes de l’Union lorsqu’ils relèvent du champ d’application de l’Artificial Intelligence Act.

 

La gouvernance passera également par la création d’une base de données européenne pour les systèmes autonomes d’IA à haut risque. Cette base de données sera alimentée en données par les fournisseurs de systèmes d’IA, qui seront tenus d’enregistrer leurs systèmes avant de les mettre sur le marché ou de les mettre en service (Articles 60 à 61).

 

La gouvernance passera également par la surveillance des systèmes d’IA mis sur le marché afin de permettre aux autorités publiques d’intervenir en cas de risques ou d’incidents inattendus (Articles 62 à 68).

 

Enfin, la création de codes de conduite visant à inciter les fournisseurs de systèmes d’IA à risque non élevé à appliquer volontairement les exigences obligatoires applicables aux systèmes d’IA à risque élevé permettra de porter les standards de l’IA européenne (Article 69).

 

 

4. Un système de sanction dissuasif

Ici encore, la réussite de la mise en œuvre du RGPD étant largement fondée sur le risque encouru en cas de non-respect, la Commission s’inspire de ce succès en proposant des sanctions particulièrement lourdes en cas de non-respect des règles édictées (Articles 71 à 72).

 

Pour les fournisseurs, distributeurs, etc. :

• 30 000 000 euros d’amende ou 6 % du chiffre d’affaires annuel mondial de l’entreprise pour les infractions liées à l’article 5 sur l’IA prohibée ou liées à la gouvernance des données mise en place à l’article 10 ;
• 20 000 000 euros d’amende ou 4 % du chiffre d’affaires annuel mondial de l’entreprise pour les autres infractions ;
• 10 000 000 euros d’amende ou 2% du chiffre d’affaires annuel mondial de l’entreprise si une information incorrecte, trompeuse ou incomplète est transmise aux organismes notifiés.

 

Pour les institutions, agences et organismes publics :

• 500 000 euros d’amende pour les infractions liées à l’article 5 sur l’IA prohibée ou liées à la gouvernance des données mise en place à l’article 10 ;
• Pour les autres infractions, 250 000 euros d’amende.

 

 

5. Les prochaines étapes ?

Ce premier projet de règlement a encore du chemin à faire et va certainement être passablement amendé devant le Parlement Européen puis par le Conseil. Il constitue tout de même une base solide pour le futur cadre européen de l’IA.

 

En proposant ce nouvel outil, l’Europe se place sur le terrain politique et cherche, dans le respect de ses valeurs humanistes et des droits fondamentaux, à nous préserver de l’obscurantisme technologique.

 

 

 

 

[1] La Commission joint dans l’annexe I du projet une liste non exhaustive d’approches et de techniques pour le développement de l’IA à adapter selon les évolutions technologiques.

[2] « au-delà de leur conscient »

[3] Il sera intéressant à ce titre de suivre la communication sur l’IA en matière pénale prévue le 17 mai 2021 https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&reference=2020/2016(INI)

[4] « High Risk »

[5] Listés à l’annexe 3 du Projet

[6] https://www.economie.gouv.fr/files/files/PDF/2017/Conclusions_Groupes_Travail_France_IA.pdf page 306

[7] https://edps.europa.eu/_en?lang=fr