Le nouveau projet de règlement sur l'Intelligence Artificielle : la prochaine législation européenne de référence ?
Autrefois un concept réservé aux laboratoires de pointe, l'intelligence artificielle (l’IA) sous-tend aujourd'hui un grand nombre de fonctions et de services de notre vie quotidienne, des services bancaires au recrutement, en passant par l'éducation et même les soins de santé. La nécessité croissante de réglementer l'IA est reconnue depuis longtemps déjà - et ce, dans le monde entier.
Aujourd'hui, les pionniers de la législation de référence en matière de protection des données innovent en proposant un cadre juridique pour l'IA. La Commission européenne a officiellement publié sa proposition de règlement européen sur l'IA le 21 avril 2021, une semaine après sa fuite le 14 avril.
Cette proposition, la première de ce genre à émerger dans le monde, fait suite aux conclusions du Livre Blanc de la Commission européenne sur l'IA. Publié en 2020, ce livre blanc avait permis de dégager quelques orientations stratégiques au service d’un double objectif : promouvoir le développement et l’utilisation de l'IA, ainsi qu’apporter une réponse claire aux risques associés aux utilisations de cette technologie.
Suite à une consultation approfondie des principales parties prenantes, la Commission a élaboré une législation qui nous permet d’entrevoir ce à quoi pourrait ressembler l'avenir de l'IA dans le paysage juridique européen.
Quel sont les objectifs de cette proposition ?
L'Union européenne (l’UE), connue dans le monde entier comme référence en matière de lois sur la protection des données personnelles, se donne désormais pour mission de « faire de l'Europe le pôle mondial d‘une intelligence artificielle digne de confiance ».[1]
Ce n'est pas un secret que le Règlement Général sur la Protection des Données (UE) 2016/679 (le RGPD) et les systèmes d'IA semblent quelque peu incompatibles. Par conséquent, le Règlement sur l'IA a aussi pour but de renforcer la gouvernance et l'application effective des lois européennes existantes en matière de droits fondamentaux, dont notamment, le droit à la vie privée, et d'exigences de sécurité applicables aux systèmes d'IA.
Contrairement au RGPD, dont l’approche est fondée sur les droits, le nouveau Règlement sur l'IA est sous-tendu par une approche fondée sur les risques.
Cette approche n’est pas sans controverse, certains acteurs ayant déjà souligné les nombreux désaccords et discussions probables à venir, autour de la question de l’étiquetage à « haut risque » : car, quelles technologies auront-elles vocation à être étiquetées à « haut risque » et pour quels motifs ? Par exemple, alors que certains systèmes d’IA en utilisation dans le secteur public, tels que ceux utilisées par la police, sont considérés comme étant à haut risque, d'autres utilisations par le secteur public ont été exclues, telles que l'usage de l’IA à des fins militaires (article 2, paragraphe 3) ou son utilisation par les autorités publiques de pays tiers et les organisations internationales (article 2, paragraphe 4).
Le grand public ayant peu voix au chapitre en ce qui concerne la question de l'utilisation de leurs données personnelles dans les systèmes d'IA du secteur public, cette approche est d’ailleurs décriée comme hypocrite par certains acteurs, dont l'analyste des politiques européennes Daniel Leufer ainsi que le Centre Européen « Not-for-Profit Law », qui avaient contribué au Livre Blanc sur l'IA l'année dernière.[2]
En même temps, la nature même de l'IA ainsi que du « machine learning », semblent exclure une approche fondée sur les droits, cette dernière paraissant difficilement tenable dans le contexte de l’IA - comme il a pu être constaté par le passé, nombre d’essais visant à ramener l'IA et les technologies de reconnaissance faciale dans le giron du RGDP s’étant effectivement soldés par des échecs.
En effet, la Commission européenne a elle-même admis que les dispositions du RGPD, telles qu'elles existent, sont parfois incompatibles avec l'opérabilité des systèmes d'IA.[3] D’autres commentaires sur la nécessité d'une réglementation spécifique à l'IA ont été faits l’année dernière par des acteurs européens à l’occasion de la conférence AI France, à laquelle participait Gerrish Legal.
À qui s'applique le Règlement sur l'IA ?
La proposition de Règlement sur l'IA vise principalement à réglementer les usages à haut risque de l'IA. En réalité, la plupart des utilisations de l'IA ne seront pas réellement concernées par le nouveau cadre, à condition qu'elles n'atteignent pas le seuil de risque élevé prévu par la proposition.
La définition même d'« intelligence artificielle » sur laquelle s’appuie la proposition « vise à être aussi neutre que possible sur le plan technologique et à l'épreuve du temps, en tenant compte de l'évolution rapide de la technologie et du marché en matière d'IA ».[4]
En tant que tel, un système d'IA est défini comme un « logiciel développé à l'aide d'une ou plusieurs des techniques et approches énumérées à l'Annexe I et capable, pour un ensemble donné d'objectifs définis par l'homme, de générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent ».[5]
Ceci inclut des techniques et des approches dit de « machine learning », les approches fondées sur la logique et la connaissance et les approches statistiques, les inférences bayésiennes et les méthodes de recherche et d'optimisation – il s’agit, en somme et pour parler communément, d’une définition qui permet de ‘ratisser aussi large que possible’.[6] Cette définition pourrait toutefois se voir modifiée au cours des prochains débats et consultations législatives à venir.
La proposition de Règlement sur l'IA s'applique :
aux fournisseurs qui fournissent le marché européen en systèmes d’IA, ainsi qu’à ceux qui mettent ces systèmes en service ;
aux utilisateurs de systèmes d'IA situés dans l'UE ; et
aux fournisseurs et utilisateurs de systèmes d'IA situés dans un pays tiers et dont l’extrant résultant de l’usage du système IA est utilisé dans l'UE.
Ainsi, comme le RGPD, le Règlement sur l'IA a un caractère extraterritorial et s'appliquera aux personnes qui vendent et utilisent des systèmes d'IA, même si celles-ci ne sont pas établies dans l'UE.
Types de systèmes d'IA visés :
Trois catégories de systèmes d'IA sont expressément visées par la proposition de Règlement sur l'IA :
1. l'IA générant un risque inacceptable - et qui est expressément interdite au titre du Règlement;
2. l'IA résultant en un « risque élevé » ; et
3. l'IA destinée à interagir avec les humains, même si elle ne présente qu'un risque faible ou minimal.
1. L'IA interdite :
La Commission européenne a inclus une liste de systèmes d'IA qui sont considérés comme présentant un risque inacceptable pour les droits fondamentaux des résidents de l'UE et pour les valeurs de l'UE - et qui sont donc expressément interdits d'utilisation au sein de l'UE.
Il s'agit notamment des systèmes d'IA qui :
i. utilisent des techniques subliminales pour manipuler, exploiter, déformer matériellement le comportement d'un individu d'une manière qui cause ou pourrait probablement causer un préjudice ou un dommage ;
ii. exploitent toute vulnérabilité, telle que l'utilisation de l'IA avec des mineurs ou des personnes handicapées, d'une manière qui cause ou pourrait probablement causer un préjudice ou un dommage ;
iii. évaluent ou classent la fiabilité des personnes - c'est-à-dire les systèmes de « social scoring » - lorsqu’elles sont utilisées par les autorités publiques ou toute personne agissant en leur nom, si ce social scoring entraîne un traitement préjudiciable ou défavorable des personnes dans un contexte sans rapport avec la finalité pour laquelle les données ont été initialement collectées ou si ce social scoring entraîne un traitement préjudiciable ou défavorable injustifié ou disproportionné par rapport aux faits ; et
iv. utilisent des systèmes d'identification biométrique à distance "en temps réel" en public à des fins d'application de la loi - c'est-à-dire la surveillance publique de masse et sans discernement, via des méthodes telles que la reconnaissance faciale.
Les systèmes d'IA qui entrent dans cette dernière catégorie, qui était absente du projet de proposition ayant fait l'objet d'une fuite, peuvent être utilisés pour l'une des exceptions suivantes : lorsque ces systèmes sont nécessaires à la recherche de victimes d'infractions (par exemple, des enfants disparus), à la prévention d'une attaque terroriste ou d'une menace imminente pour la vie, ou à la détection d'un auteur ou d'un suspect d'une infraction pénale sous réserve de certaines exigences.
2. IA à haut risque :
Les systèmes d'IA qui n'entrent dans aucune des catégories spécifiées ci-dessus pourront être inclus dans la catégorie des IA considérées comme « à haut risque », s'ils atteignent le seuil précisé par Règlement sur l'IA.
Si un système d'IA est considéré comme créant un risque élevé pour les droits fondamentaux des résidents de l'UE ou un risque élevé pour les valeurs de l'UE, alors ce système d'IA devra se conformer aux exigences obligatoires et à l'évaluation de conformité ex ante du Règlement sur l’IA afin d'être autorisé sur le marché européen.
Un système d'IA est considéré comme présentant un risque élevé lorsque (conditions cumulatives):
1. le système d’IA en question a vocation à être utilisé comme composant de sécurité d'un produit, ou lorsque le système d’IA constitue lui-même un produit, concerné par l’une des législations harmonisées de l'Union, énumérées en Annexe II de la proposition, touchant, par exemple, aux machines, jouets, ou dispositifs médicaux, etc. (Article 6) ; et
2. le système d'IA doit faire l'objet d'un test de conformité par une tierce partie avant sa mise sur le marché ou sa mise en service, conformément aux législations harmonisées de l'Union énumérées en Annexe II de la proposition.[7]
En outre, les systèmes d'IA utilisés dans les domaines définis à l'Annexe III de la proposition[8] sont également considérés comme présentant un risque élevé. Cette Annexe fait spécifiquement référence aux systèmes d'IA autonomes qui sont considérés à haut risque en raison de la menace qu'ils représentent pour les droits fondamentaux. Il s'agit plus particulièrement des systèmes d'IA destinés à être utilisés pour l'identification biométrique à distance de personnes dans des espaces accessibles au public, ou pour la gestion et l'exploitation de réseaux d'infrastructures publiques essentielles, l'éducation et la formation professionnelle, l'emploi, le maintien de l'ordre, la migration, le contrôle des frontières ou l'administration de la justice.
Exploitation d'un système à haut risque :
Si vous exploitez ou avez l'intention d'exploiter un système d'IA à haut risque, vous aurez certaines obligations en vertu de la proposition de Règlement sur l'IA, avant et après leur mise sur le marché ou leur mise en service.
Les fournisseurs devront veiller à ce que leurs systèmes d'IA répondent à des exigences strictes en matière de données et de gouvernance, comme l’utilisation des bases de données fiables, ainsi que la création d'une documentation technique démontrant la conformité, et l'évaluation des risques et des mesures d'atténuation des risques.
Les fournisseurs devront également concevoir leurs systèmes à haut risque de manière à respecter certaines normes de précision, de robustesse, de transparence et de cyber sécurité, à ce que leurs résultats puissent être interprétés par les utilisateurs et à ce qu'une intervention humaine soit possible pendant l'utilisation.
Certains systèmes d'IA devront subir une évaluation de la conformité avant d'être mis sur le marché ou en service. Une déclaration de conformité de l'UE devra être rédigée et le marquage CE de conformité devra être apposé sur le système. Ces mesures s'ajoutent aux évaluations de conformité ex ante effectuées par des tiers, auxquelles certains systèmes peuvent déjà être soumis. Les fournisseurs d'autres systèmes autonomes à haut risque seront tenus de procéder eux-mêmes à des évaluations internes, à l'exception des utilisations de l'identification faciale qui devront être évaluées par des tiers indépendants.
Après la vente ou la mise en service du système d'IA à haut risque, les fournisseurs devront mettre en place un système de gestion de la qualité. Ce système devra être documenté de manière systématique et ordonnée sous forme de politiques et d'instructions, ainsi que par des journaux générés automatiquement.
3. Obligations de transparence pour les systèmes d'IA interagissant avec les humains :
Outre les obligations susmentionnées concernant les systèmes d'IA interdits et à haut risque, l'Article 52 de la proposition du Règlement sur l'IAprévoit également des obligations de transparence pour les systèmes d'IA qui interagissent avec des humains, même si ces systèmes d'IA présentent un risque faible ou minimal.
Les fournisseurs de systèmes d'IA conçus et développés de telle sorte que le système interagit avec des personnes humaines devront remplir certaines obligations de transparence, notamment informer les personnes qu'elles interagissent effectivement avec un système d'IA - sauf si cela est évident au vu des circonstances et du contexte d'utilisation.
Cette obligation ne s'appliquera pas aux systèmes d'IA autorisés par la loi à détecter, prévenir, enquêter et poursuivre des infractions pénales, sauf si ces systèmes permettent au public de signaler une infraction pénale.
À cet effet, les chatbots ou les « deep fakes » qui s’appuient sur un système d'IA, constituent un exemple paradigmatique des situations dans lesquelles cette obligation de transparence s’imposera.
Plus précisément, la proposition de Règlement sur l'IA imposera à ces « deep fakes », c'est-à-dire à ces systèmes d'IA qui génèrent ou manipulent des images et des vidéos ressemblant à des personnes existantes, de révéler à ceux qui les visionnent que le contenu a été généré ou manipulé artificiellement - un outil essentiel pour lutter contre la montée des « fake news ».
Quelles conséquences en cas de non-respect du règlement ?
La mise en application du Règlement sera laissée, dans une large mesure, aux autorités nationales compétentes désignées par les États membres. Toutefois, la proposition prévoit également la création d'un Conseil européen de l'intelligence artificielle, qui sera présidé par la Commission européenne et comptera un représentant de chaque autorité nationale de contrôle et du Conseil européen de la protection des données (CEPD). Le Conseil aura notamment pour tâche d'harmoniser les normes et pratiques techniques entre les États membres et d'émettre des avis, des recommandations ou d'autres contributions écrites.
La non-conformité pourrait avoir des conséquences importantes pour les fournisseurs des systèmes d'IA concernés, car le règlement prévoit des sanctions importantes. En effet, les États membres pourront fixer eux-mêmes le montant des amendes administratives infligées en cas de violation du règlement – et en vertu de la proposition actuelle, les seuils suivants doivent être pris en compte lors de l'imposition de ces sanctions :
pour les infractions liées à des pratiques interdites ou au non-respect des exigences en matière de données, les amendes peuvent atteindre jusqu'à 30 millions d'euros ou 6 % du chiffre d'affaires annuel mondial total ;
pour les infractions relatives au non-respect de toute autre exigence du règlement AI, les amendes peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total ; et
pour les infractions relatives à la fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités, les amendes peuvent atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total.
Le règlement représente-t-il un changement bienvenu ?
Le besoin d'une réglementation spécifique ou d'un ensemble de règles relatives à l'utilisation de l'IA se fait sentir depuis longtemps – et non pas uniquement en Europe, mais également dans le monde entier. En raison de la rapidité du développement de l'IA, la législation existante n'a pas été en mesure de s’adapter et, dans certains cas, certaines dispositions législatives sont même devenues totalement obsolètes voir incompatibles avec le développement l’IA.
Toutefois, cela ne devrait pas signifier que les principes clés qui sous-tendent le RGPD devraient être abandonnés en raison de cette incompatibilité - une harmonisation entre la nécessité de protéger les droits fondamentaux et de promouvoir l'innovation est toujours nécessaire. A cet effet, il faut reconnaitre que cette proposition législative sur l'IA représente bien sûr un pas dans la bonne direction.
Quid de son statut de « premier en son genre » ? Le règlement sur l’IA est en effet un pionnier dans le domaine – et si être un pionner est souvent un avantage, dans l’univers législatif, ce statut peut également charrier son lot d’inconvénients. La proposition de règlement sur l’IA n’a par exemple aucune législation antérieure dont elle peut s’inspirer et – peut-être est-ce d’ailleurs une conséquence de l’absence de législation existante en la matière – présente de nombres lacunes. Bien que le Règlement sur l'IA ait le mérite de replacer les droits fondamentaux et l'intérêt public au centre des discussions, certains éléments incontournables du débat semblent néanmoins absents de la proposition.
L'omission flagrante d'un cadre et de garanties solides concernant les risques de biais algorithmiques :
Bien qu'il y soit fait référence dans le préambule, les dispositions de Règlement sur l'IA ne sont pas aussi fortes en ce qui concerne les exigences visant à garantir l'équité algorithmique, telles que la réalisation et la publication d'analyses d'impact. En effet, si la législation fait occasionnellement référence à la surveillance, à la détection et à la correction des biais, à aucun moment n’impose-t-elle de manière expresse la systématisation des évaluations d'impact visant à mesurer les effets probables des biais algorithmiques sur les groupes sociaux les plus à risque de subir ces biais. Cet oubli est pour le moins surprenant - surtout lorsque l’on le sait que les préjugés et la discrimination qui en découle sont l'une des principales préoccupations liées à l'utilisation de l'IA dans les lieux publics ou à son usage pour rendre des décisions pouvant produire des effets juridiques et/ou significatifs pour les personnes concernées. L'utilisation de l'IA lors de processus de recrutement en est un exemple.
Des lacunes concernant les technologies biométriques de surveillance de masse :
Malgré un important lobbying des activistes des droits numériques et même des membres du Parlement européen, certains pensent que le Règlement sur l'IA est également dépourvu de propositions importantes pour assurer une protection satisfaisante des droits fondamentaux en matière de surveillance biométrique de masse.
Bien que l'Article 5 du Règlement prévoie l'interdiction des systèmes d'identification biométrique à distance en temps réel dans les espaces accessibles au public par les autorités chargées de l'application des lois, le Règlement semble souffrir d’un angle mort évident : qu'en est-il des autres autorités publiques ou des acteurs privés ? Les risques qui pourraient résulter de l'utilisation de ces systèmes d'IA par ces acteurs ne fait aucun doute et l'absence de toute référence à ce sujet fait sourciller. Cependant, on pourrait argumenter en disant que le GDPR protège suffisamment contre de telles utilisations en soi aussi, par exemple, par la nécessité d'une base légale pour le traitement.
De plus, la proposition contient de nombreuses exceptions à l’interdiction générale pourtant stipulée. Ces dispositions pourraient faire l'objet d'une interprétation extensive et accorder de larges pouvoirs aux autorités, permettant ainsi de nombreuses violations des droits de l'homme et ouvrant largement la porte à la surveillance de masse. L'utilisation de l'IA à des fins de reconnaissance faciale automatisée est, par exemple, un sujet très controversé au Royaume-Uni et dans l'UE, et ce depuis un certain temps.
Conclusion
En tout et pour tout, le règlement sur l’IA représente une proposition intéressante de la part de l'UE, et il sera intéressant (et important si vous êtes le fournisseur ou l'utilisateur de systèmes d'IA) de continuer à suivre l'évolution de ce projet de législation au cours des mois à venir.
Comme toujours, si vous avez des questions concernant la provision ou l'utilisation de systèmes d'IA, n'hésitez pas à nous contacter.
Citations:
[1] Communiqué de presse – Commission européenne – 21 avril 2021 https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_1682
[2] « Europe seeks to limit the use of AI in society », BBC News, 14 avril 2020 https://www.bbc.com/news/technology-56745730
[3] Livre blanc sur l’IA – Commission européenne – 19 février 2020 - https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_en.pdf
[4] Proposition de règlement établissant des règles harmonisées sur l’intelligence artificielle, Commission européenne, 21 avril 2021, Page 12
[5] Proposition de règlement établissant des règles harmonisées sur l’intelligence artificielle, Commission européenne, 21 avril 2021, Page 39
[6] Annexes de la proposition, Commission européenne, 21 avril 2021 https://www.dalloz-actualite.fr/sites/dalloz-actualite.fr/files/resources/2021/05/regulation_annex_ai_875fdd6d-cc6a-e50a-8e48824677efed42_75789.pdf
[7] Annex 2, Annexes de la proposition, Commission européenne, 21 avril 2021 https://www.dalloz-actualite.fr/sites/dalloz-actualite.fr/files/resources/2021/05/regulation_annex_ai_875fdd6d-cc6a-e50a-8e48824677efed42_75789.pdf
[8] Annex 3, Annexes de la proposition, Commission européenne, 21 avril 2021 https://www.dalloz-actualite.fr/sites/dalloz-actualite.fr/files/resources/2021/05/regulation_annex_ai_875fdd6d-cc6a-e50a-8e48824677efed42_75789.pdf