L’Artificial Intelligence Act : une première mondiale en matière de régulation des systèmes d’intelligence artificielle ?
Introduction
Attendues de longue date, la Commission européenne a publié le 21 avril 2021 une communication et une proposition de « règlement établissant des règles harmonisées en matière d’intelligence artificielle » (IA). Il s’agit de l’Artificial Intelligence Act.
Cette proposition de règlement européen s’inscrit dans une réflexion globale initiée dès 2017, au cours de laquelle la Commission européenne avait publié, le 19 février 2020, un livre blanc sur l’intelligence artificielle (IA) visant à promouvoir l’adoption de solutions basées sur l’IA et faire face aux risques associés à certains usages de cette technologie. Ce livre blanc avait été suivie, le 20 octobre 2020, par des résolutions adoptées et des recommandations émises par le Parlement européen proposant notamment d’établir une responsabilité civile en matière d’intelligence artificielle.
Ainsi, à travers son projet de règlement européen, la Commission européenne propose un nouveau cadre juridique, unique et ambitieux, pour réguler le développement et l’utilisation de l’IA dans l’Union européenne (UE). Cette première mondiale en matière d’IA se fonde ainsi sur quatre objectifs spécifiques :
1. Veiller à ce que les systèmes d'IA mis sur le marché de l'Union européenne et utilisés soient sûrs et respectent le droit existant en matière de droits fondamentaux et de valeurs de l’UE ;
2. Garantir la sécurité juridique pour faciliter l'investissement et l'innovation dans l'IA ;
3. Améliorer la gouvernance et l'application effective de la législation existante en matière de droits fondamentaux et d'exigences de sécurité applicables aux systèmes d'IA ;
4. Faciliter le développement d'un marché unique pour les applications d'IA légales, sûres et dignes de confiance et prévenir la fragmentation du marché.
Pour ce faire, la Commission européenne a adopté une approche mettant en balance d’une part, la nécessaire adoption d’exigences minimales afin de prévenir et encadrer les risques potentiels en matière d’IA, et d’autre part, la mise en place d’un cadre favorable à l’IA afin de ne pas contraindre ni empêcher le développement technologique et l’implémentation pratique de l’IA dans la vie quotidienne.
Il est également à noter qu’en parallèle de ce projet de règlement, la Commission européenne a présenté un nouveau plan cordonné entre elle et les États membres sous formes d’un ensemble concret d’actions conjointes visant à :
· Accélérer les investissements dans les technologies de l'IA pour favoriser une reprise économique et sociale résiliente, facilitée par l'adoption de nouvelles solutions numériques ;
· Agir en mettant en œuvre intégralement et rapidement les stratégies et les programmes d’IA établis afin que l’UE tire pleinement parti des avantages liés au fait d’être le premier officiellement à adopter et réguler une technologie ;
· Et enfin aligner les priorités politiques et les investissements en matière d’IA.
Après avoir étudié le champ d’application de cette proposition de règlement (1), nous verrons les principales dispositions inclues dans ce règlement, à savoir la différenciation des règles applicables aux systèmes d’IA selon le risque qu’ils peuvent engendrer (2), les obligations légales différenciées selon les utilisations des systèmes d’IA (3), la gouvernance et les sanctions envisagées en cas de non-respect du règlement (4), et enfin les prochaines étapes du processus d’adoption de ce règlement (5).
1/ Le champ d’application du règlement sur l’IA
Dans son projet de règlement, la Commission européenne définit tout d’abord l’objet même du Règlement, à savoir le système d’IA (p. 39) comme « un logiciel développé à l’aide d’une ou de plusieurs approches et techniques [énumérées à l’annexe 1 du Règlement] et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent ».
Bien que cette définition fasse probablement l'objet d'un examen attentif et d'une éventuelle modification, il est clair que la Commission souhaite proposer une définition relativement large en englobant non seulement les systèmes d'IA proposés en tant que produits logiciels autonomes, mais aussi les produits et services reposant directement ou indirectement sur des services d'IA.
L’annexe 1 à laquelle il est précédemment fait référence prévoit les techniques et approches conduisant à l’identification d’un logiciel en tant que système d’IA, et notamment les approches reposant sur le machine learning, les approches logiques et basées sur la connaissances, et enfin les approches statistiques.
Le règlement sur l'IA propose un large champ d'application réglementaire, couvrant tous les aspects du cycle de vie du développement, de la commercialisation et de l'utilisation des systèmes d'IA, s’appliquant ainsi :
· Aux fournisseurs qui mettent sur le marché des systèmes d'IA ou qui mettent des systèmes d'IA en service, que ces fournisseurs soient établis dans l'UE ou dans un pays tiers ;
· Aux utilisateurs de systèmes d'IA situés dans l'UE ;
· Et aux fournisseurs et utilisateurs de systèmes d'IA qui sont situés dans un pays tiers, lorsque les données de sortie produites par le système sont utilisées dans l'UE.
Par conséquent, le règlement sur l'IA s'appliquera aux acteurs tant à l'intérieur qu'à l'extérieur de l'UE, dès lors que le système d'IA est mis sur le marché dans l'UE ou que son utilisation affecte des personnes situées dans l'UE.
2/ La différenciation des systèmes d’IA selon les risques engendrés
La Commission européenne a opté pour une approche différenciée selon les différents systèmes d’IA au regard des différents risques pouvant être engendrés par l’IA. Notons que cette approche est considérée comme totalement novatrice et comme la toute première du genre dans le monde en matière d’IA.
C’est à ce titre qu’une différenciation est réalisée entre :
· Les utilisations interdites susceptibles de présenter des risques inacceptables en violation des valeurs et droits fondamentaux européens. Divers exemples sont donnés comme notamment le social scoring par les autorités publiques, les systèmes d’identification biométrique à distance en temps réel dans les espaces accessibles au public utilisés à des fins répressives, ou bien encore les techniques subconscientes afin de déformer matériellement le comportement d’un individu ;
· Les utilisations réglementées susceptibles de présenter des risques élevés (ou à haut risque) pour la santé, la sécurité ou les droits fondamentaux européens des personnes physiques. Divers exemples sont là aussi donnés comme notamment l'identification biométrique à distance en temps réel et a posteriori, l'évaluation de la solvabilité d'une personne ou encore l'utilisation de systèmes d'IA dans le recrutement et la promotion dans un contexte d'emploi ;
Les utilisations soumises à des obligations de transparence car susceptibles de présenter certains risques de manipulation. Divers exemples sont aussi donnés comme notamment lorsque ces systèmes d’IA interagissent avec les humains sont utilisés pour détecter des émotions ou établir des associations entre des catégories de personnes sur la base de données biométriques, ou encore qu’ils génèrent ou manipulent des contenus (type deep fakes).
3/ La différenciation des règles applicables selon les utilisations des systèmes d’IA
Concernant les utilisations interdites de systèmes d’IA, la Commission européenne prohibe donc la mise sur le marché, la mise en service et l'utilisation de systèmes d'IA qui :
· Déploient des techniques subliminales au-delà de la conscience d'une personne pour altérer matériellement son comportement d'une manière qui lui cause ou est susceptible de lui causer un préjudice ;
· Exploitent les vulnérabilités d'un groupe en raison de son âge ou de son handicap physique ou mental afin de déformer matériellement le comportement d'une personne appartenant à ce groupe d'une manière qui cause ou est susceptible de causer un préjudice ;
· Évaluent ou classent la fiabilité des personnes physiques en fonction de leur comportement social ou de leurs caractéristiques personnelles ou de personnalité connues ou prévues, conduisant à un traitement préjudiciable ou défavorable.
Concernant les utilisations de systèmes d’IA présentant des risques élevés (ou à haut risque), la Commission européenne édicte plusieurs règles spécifiques. Pour qu’un système d’IA à haut risque puisse être utilisé, certaines exigences générales doivent être respectées, et notamment :
· L’établissement, la mise en œuvre, la documentation et la maintenance d’un système de gestion des risques ;
· L’utilisation d’ensemble de données répondant à différents critères de qualité (représentatifs, non biaisés, adaptés aux spécificités géographiques ou comportementales, etc.) ;
· L’établissement d’une documentation technique avant la mise sur le marché ou la mise en service et son maintien ;
· La capacité d’enregistrement automatique d’événements pendant le fonctionnement des systèmes d’IA ;
· L’assurance d’un fonctionnement suffisamment transparent pour permettre aux utilisateurs d’interpréter les résultats du système et de les utiliser de manière appropriée ;
· La supervision effective par des personnes physiques pendant la période d’utilisation du système d’IA ;
· Et l’obtention, compte tenu de leur finalisé, d’un niveau approprié d’exactitude, de robustesse, de cyber sécurité et de cohérence.
Plus précisément, la Commission européenne fait une distinction entre les obligations imposées selon qu’elles s’appliquent aux fournisseurs de systèmes d'IA à haut risque, aux fabricants de produits, aux représentants autorisés de l'UE désignés par des fournisseurs non européens, aux importateurs, aux distributeurs, aux utilisateurs et aux autres tiers impliqués dans la chaîne de valeur de l'IA :
· Les fournisseurs de systèmes d'IA à haut risque sont responsables notamment de la conformité de leurs systèmes avec le règlement sur l'IA, de la mise en œuvre d'un système de gestion de la qualité, de l'établissement de la documentation technique pertinente, de la tenue des journaux générés par leurs systèmes d'IA à haut risque, du respect des obligations en matière d'évaluation de la conformité et d'enregistrement, de la prise de mesures correctives si nécessaire et de la coopération avec les autorités ;
· Les fabricants de produits couverts par la législation européenne, et notamment concernant les systèmes d'IA à haut risque, sont responsables de la conformité comme s'ils étaient le fournisseur du système d'IA à haut risque ;
· Les distributeurs, importateurs, utilisateurs et autres tiers seront également soumis aux obligations des fournisseurs s'ils mettent un système d'IA à haut risque sur le marché ou en service sous leur nom ou leur marque, s'ils modifient la destination d'un système d'IA à haut risque déjà sur le marché ou en service ou s'ils apportent une modification substantielle à un système d'IA à haut risque.
Dans ce cas, le fournisseur initial est dégagé de toute responsabilité ;
· Les utilisateurs doivent utiliser ces systèmes d’IA conformément aux instructions d'utilisation, s'assurer que les données d'entrée sont pertinentes et surveiller le fonctionnement du système d'IA à haut risque sur la base des instructions reçues.
Concernant les utilisations de systèmes d’IA susceptibles de présenter certains risques de manipulation, la Commission européenne prévoient plusieurs obligations de transparence, et notamment afin que les utilisateurs de tels systèmes soient informés des réalités pratiques derrières ces systèmes, ou encore que ces utilisateurs aient conscience que les contenus générés le sont par des moyens automatisés (en matière de deep fakes par exemple).
Concernant les utilisations de systèmes d’IA ne présentant qu’un risque minimal, la Commission européenne ne prévoit aucune autre restriction ou obligation légale supplémentaire au titre de l’Artificial Intelligence Act, sauf à ce que le développement et l’utilisation de ces systèmes d’IA soient conformes à la législation existante (y compris en matière de RGPD).
La grande majorité des systèmes d’IA actuellement utilisés dans l’UE entrent dans cette catégorie. A ce titre, la Commission propose également que sur une base volontaire, les fournisseurs de ces systèmes puissent choisir d’appliquer les exigences relatives à une IA digne de confiance, de créer ou d’adhérer à des codes de conduites contraignants mais volontairement.
4/ La gouvernance et les sanctions envisagées en cas de non-respect du règlement
A l’instar du RGPD, la Commission prévoie dans son projet de règlement la création d’un Conseil européen de l’intelligence artificielle chargé de faciliter la mise en œuvre harmonieuse, efficace et harmonisée des nouvelles règles (l'équivalent pour l'IA du Conseil européen de la protection des données en matière de RGPD) et qui serait composé de représentants des autorités nationales compétentes, du contrôleur européen de la protection des données et de la Commission.
Au niveau interne, chaque État membres devra désigner au moins une autorité nationale compétente pour superviser l'application et la mise en œuvre du règlement sur l’IA et contrôler le respect des obligations et exigences pour les systèmes d’IA à haut risques déjà sur le marché ou à venir. Ainsi, si une autorité estime qu'un système d'IA présente un risque pour la santé, la sécurité ou les droits fondamentaux, elle doit procéder à une évaluation du système d'IA et, si nécessaire, imposer des mesures correctives.
A ce titre, des sanctions sont évidemment prévues en cas de non-respect des obligations édictées par le règlement sur l’IA, à savoir des pénalités financières pouvant aller de 10 à 30 millions d'euros ou de 2 à 6 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu, et le niveau de pénalité dépendant de la nature de l'infraction.
5/ Les prochaines étapes dans l’adoption du règlement
Au regard du processus législatif ordinaire devant les institutions européennes, cet Artificial Intelligence Act va être soumis au Parlement européen et au Conseil de l’Europe pour des examens et débat plus approfondis dont il ressortira probablement des amendements visant à améliorer et enrichir le texte initial.
Une fois adopté, le règlement entrera en vigueur 20 jours après sa publication au Journal officiel. Le règlement sera directement applicable dans toute l’UE au terme de 24 mois après sa publication.
Ainsi, il est envisageable que le règlement IA rentre en application dès 2024, même s’il n’est pas à exclure que certaines dispositions puissent s'appliquer plus tôt.
Conclusion
Pour reprendre les commentaires de la vice-présidente exécutive de la Commission chargé du numérique, Margrethe Vestager, le règlement sur l'IA n'est rien de moins qu'une « proposition historique ».
Dans la continuité de la dernière décennie, l'UE souhaite jouer un rôle majeur dans l'élaboration et la transformation de la réglementation relative à l'utilisation des technologies émergentes et des données dans le monde entier, notamment avec le RGPD et, plus récemment, avec ses propositions relatives à la loi sur les services numériques et à la loi sur les marchés numériques.
S’il est adopté, le règlement sur l’IA pourrait servir de modèle similaire pour les futures réglementations sur l'intelligence artificielle adoptées par d'autres pays dans le monde.
Néanmoins, les obligations étendues imposées à l’ensemble de la chaine des acteurs des systèmes d’IAA peuvent être décourageantes pour l’innovation et pour l’écosystème afférent européen. Par ailleurs, le nouveau régime de gouvernance et d'application envisagée viendra s'ajouter à une forêt réglementaire de plus en plus dense en Europe.
Au risque encore une fois que nous, européens, soyons les champions de la régulation et de l’encadrement juridique au détriment d’être nous-mêmes des acteurs et des champions dans l’innovation en tant que telle ? L’avenir nous le dira.
Pour en savoir plus :
· Livre blanc de la Commission européenne du 19 février 2020 ;
· Résolutions et recommandations du Parlement européen du 20 octobre 2020 ;
· Communication de la Commission européenne du 21 avril 2021 ;
· Proposition de règlement de la Commission européenne du 21 avril 2021 ;
· Plan coordonné en matière d’IA de la Commission européenne du 21 avril 2021.