Artificial Intelligence Act : retour sur le projet de Règlement européen

Publication JDN du

· DATA PROTECTION,ARTIFICIAL INTELLIGENCE

Dans le contexte de l'élaboration du cadre juridique harmonisé sur l'intelligence artificielle, retour sur les principales propositions issues du Règlement européen sur l'intelligence artificielle.

Dans l’objectif d’assurer une intelligence artificielle (IA) de confiance, la Commission européenne a publié le 21 avril dernier son projet de règlement, constituant le premier cadre juridique visant à :

- Établir des règles harmonisées concernant l’IA ;

- Interdire certaines pratiques en matière d’IA ;

- Poser des exigences spécifiques pour les systèmes d’IA à haut risque ainsi que des obligations pour les opérateurs de ces systèmes d’IA ;

- Etablir des règles harmonisées pour les systèmes d’IA amenés à interagir avec des personnes physiques, les systèmes de reconnaissance émotionnelle, les systèmes de catégorisation biométrique et les systèmes d’IA utilisés pour générer ou manipuler images, ou contenus audios et vidéo ;

- Fixer des règles sur le contrôle et la surveillance du marché.

Ce règlement s’appliquera à la fois aux fournisseurs qui mettent des systèmes d’IA sur le marché UE (qu’ils soient établis ou non en UE), aux utilisateurs professionnels localisés en UE et aux fournisseurs et utilisateurs professionnels localisés dans un pays tiers mais dont les résultats produits par le système d’IA sont exploités en UE.

Les principaux axes de ce projet de Règlement sont les suivants :

1. L'adoption d’une approche par les risques

Une distinction est opérée entre les systèmes d’IA présentant un “risque inacceptable”, les systèmes d’IA présentant "un risque élevé" et ceux présentant un risque limité voire minime.

Le projet de règlement propose une liste de systèmes d’IA interdits car présentant un “risque inacceptable”. Il s’agit notamment des systèmes d’IA utilisés à des fins de "surveillance de masse", qui manipulent le comportement, les opinions ou les décisions et des systèmes qui permettent la notation sociale par les États (hors cas de sécurité publique).

Le projet de règlement propose, par ailleurs, une classification de systèmes d’IA présentant un risque élevé. Ces systèmes à haut risque concernent, par exemple, les technologies d'IA utilisées dans les composants de sécurité des produits, ce qui serait le cas de la chirurgie assistée par robot.

Pour ces systèmes d’IA à haut risque, une série d’exigences sont posées, notamment en matière de gestion des risques, gouvernance de la donnée, transparence ou encore intervention humaine.

L’opérateur d’un tel système d’IA à notamment l’obligation de réaliser des tests de conformité avant leur arrivée sur le marché :

- Par une autorité tierce (ex : l'identification biométrique à distance des personnes dans les lieux publics)

- ou par une auto-évaluation du fournisseur (ex. : les systèmes de priorisation des services d'urgence, les outils utilisés pour le recrutement ou pour évaluer la solvabilité des personnes)

2. La création d’un Conseil européen dédié à l'IA

Le projet de Règlement prévoir également la création d'un "Conseil européen de l’intelligence artificielle",

- composé d’un représentant de chacun des 27 pays de l’UE et d’un représentant de la Commission, ainsi que du Contrôleur européen de la protection des données)

- qui fera des recommandations sur la liste des pratiques interdites et établir la liste des systèmes à haut risque.

A noter que le projet prévoit également une section dédiée à l’obligation de transparence pour les systèmes d’IA qui interagissent avec des personnes physiques ou encore un système de bac à sable (Sandbox) pour accompagner le développement, test et la validation de systèmes d’IA innovants.

3. De nouvelles sanctions

Avant de mettre un système d'IA à haut risque sur le marché de l'UE ou de le mettre en service d'une autre manière, les fournisseurs doivent le soumettre à une évaluation de la conformité. Cela leur permettra de démontrer que leur système est conforme aux exigences obligatoires pour une IA digne de confiance (par exemple, qualité des données, documentation et traçabilité, transparence, surveillance humaine, exactitude et robustesse). Le règlement définit des seuils qui doivent être pris en compte : Jusqu'à 30 millions d'euros ou 6% du chiffre d'affaires annuel mondial total de l'exercice précédent (selon le montant le plus élevé) pour les infractions aux pratiques interdites ou le non-respect des exigences en matière de données

4. Le calendrier relatif à l’issue du projet de règlement

Le projet doit être soumis au Parlement européen et au Conseil dans le cadre de la procédure législative ordinaire. La période dite de première lecture n’est soumise à aucun délai. 

Il est donc probable qu’il soit nécessaire de patienter encore quelques années avant qu’une version définitive du règlement ne soit adoptée.