De manière assez générale, l’intelligence artificielle (ci-après « IA ») pourrait être définie comme un ensemble de théories et de techniques de développement encodées dans des algorithmes capables de faire simuler à des logiciels ou à des machines certains traits de l’intelligence humaine (raisonnement, apprentissage…).
L’application pratique de l’IA nous montre d’ores et déjà que l’IA à le potentiel de procurer de nombreux avantages économiques et sociétaux comme par exemple dans le domaine du médical (diagnostiques).
Toutefois, il est également déjà clair que l’IA peut aussi devenir discriminatoire envers les individus et porter atteinte (de manière intentionnelle ou non) à leurs droits fondamentaux.
Le 21 avril 2021, la Commission, après de nombreuses concertations, a proposé un projet de règlement européen établissant des règles harmonisées concernant l’intelligence artificielle. (Ci-après « le règlement » ou « le projet de règlement » en référence au projet de règlement 2021/0106)
L’objectif principal de ce projet de règlement européenn est d’éviter la fragmentation des règles au niveau des états membres en créant un ensemble de règles harmonisées (à l’épreuve du temps et de l’évolution de la technologie) concernant la mise sur le marché, la mise en service et l’utilisation de systèmes d’intelligence artificielle (ci-après dénommés « systèmes d’IA ») dans l’Union.
Les règles proposées ont pour but de favoriser la qualité des systèmes d’IA mis sur le marché et d’adresser également les risques pour les droits fondamentaux des individus concernés.
L’approche envisagée pour atteindre ces buts est une approche basée sur la « compliance » des opérateurs de systèmes d’IA (en particulier les fournisseurs) à des obligations qui sont plus ou moins lourdes en fonction du risque identifié (pour le système d’IA envisagé) pour les droits fondamentaux des individus concernés.
1. Champ d’application et concepts clefs
Champ d’application
Le projet de règlement à vocation à s’appliquer à trois acteurs de la chaines IA identifiés respectivement comme :
(a) les fournisseurs, établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union ;
(b) les utilisateurs de systèmes d’IA situés dans l’Union ;
(c) les fournisseurs et utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union.
Il est précisé dans les considérants du projet de réglement que des systèmes d’IA qui ne sont pas mis sur le marché, mis en service ou encore utilisés dans l’Union européenne mais dont les effets impactent des personnes physiques situées dans l’Union européenne rentrent bien dans son champ d’application.
Le projet de règlement n’a pas vocation à s’appliqur aux systèmes d’IA développés ou utilisés uniquement à des fins militaires ou dans le cadre d’accords internationaux de coopération des services répressifs et judiciaires avec l’Union ou avec un ou plusieurs États membre.
Les fournisseurs établis en dehors de l’Union sont tenus de nommer, par mandat écrit, un mandataire établi dans l’Union.
Définitions
La définition d’un système d’IA a été pensée pour être aussi neutre que possible sur le plan technologique et pour résister à l’épreuve du temps. La définition choisie est donc volontairement assez générale et fait référence à l’Annexe I du projet de règlement qui reprend une liste des techniques s’apparentant à de l’IA qui peut être complétée ou modifiée à par la Commission.
Le fournisseur est : « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ».
Le fournisseur endosse la responsabilité se conformer à la grande majorité des obligations, en particulier en ce qui concerne la mise sur le marché de systèmes IA identifiés comme étant à haut risque.
La notion « d’utilisateur » ne concerne en pratique que les usagers professionnels qui utilisent un système IA mis sur le marché et le nombre d’obligations qu’il doit respecté est nettement moins lourd que celui du fournisseur.
2. L’identification des systèmes d’IA en fonction du risque
Les pratiques interdites
Le projet de règlement liste une série de pratiques interdites en matière d’intelligence artificielle :
- La mise sur le marché de systèmes d’IA ayant recours à des techniques subliminales au-dessous du seuil de conscience d’une personne ou qui exploite les éventuelles vulnérabilités dues à l’âge ou au handicap physique ou mental d’un groupe de personnes donné et qui est susceptibles de leur causer un préjudice physique ou psychologique ;
- La mise sur le marché par les pouvoirs publics ou pour leur compte, de systèmes d’IA destinés à évaluer ou à établir un classement de la fiabilité de personnes physiques en fonction de leur comportement social ou de caractéristiques personnelles et qui auraient des effets préjudiciables disproportionnées pour ces individus ;
- L’utilisation de systèmes d’identification biométrique à distance « en temps réel» dans des espaces accessibles au public à des fins répressives sauf si et dans la mesure où cette utilisation est strictement nécessaire eu égard à l’un des objectifs décrits.
On constate que ces pratiques sont interdites mais que l’interdiction est relative en particulier en ce qui concerne les systèmes d’identification biométriques à distance en temps réel dans les espaces publics par des autorités répressives. Ceci a déjà été critiqué notamment par la CNIL qui considère que l’interdiction devrait être absolue.[1]
Les systèmes d’IA à haut risque
Les systèmes d’IA mis sur le marché ou mis en service, sont considérés comme à haut risque lorsque les deux conditions suivantes sont remplies :
(a) le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par les actes législatifs d’harmonisation de l’Union énumérés à l’annexe II, ou constitue lui-même un tel produit ;
(b) le produit dont le composant de sécurité est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de la conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit conformément aux actes législatifs d’harmonisation de l’Union énumérés à l’annexe II. 2.
Outre les systèmes d’IA à haut risque visés au paragraphe précédent, les systèmes d’IA visés à l’annexe III du projet de réglement sont également considérés comme à haut risque.
La liste de l’Annexe III concerne plus la finalité des systèmes etcomprend par exemple les systèmes IA déterminant l’accès à l’enseignement, ceux qui seraient utilisés dans le cadre d’un processus de recrutement, d’un octroi de crédit etc…).
Cette liste est évolutive et peut être complétée ou modifiée par la Commission.
Les systèmes d’IA qui interagissent avec des êtres humains.
Certains systèmes d’IA en raison des risques spécifiques de manipulation qu’ils présentent impliquent pour les fournisseurs ou utilisateurs de respecter des obligations de transparence.
En pratique, les fournisseurs et utilisateurs concernés doivent informer les personnes physiques concernées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement des circonstances et du contexte d’utilisation.
Il s’agit des systèmes d’IA qui :
i) interagissent avec les humains ;
ii) sont utilisés pour détecter des émotions ou déterminer l’association avec des catégories (sociales) sur la base de données biométriques, ou ;
iii) générer ou manipuler des contenus (trucages vidéo ultraréalistes).
Cette obligation ne s’applique pas aux systèmes d’IA dont la loi autorise l’utilisation à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, sauf si ces systèmes sont mis à la disposition du public pour permettre le signalement d’une infraction pénale
3. La responsabilité des fournisseurs pour la mise sur le marché d’un système d’IA à haut risque
Comme dit précédemment, le fournisseur supporte la charge de se conformer à la grande majorité des obligations prévues par le règlement lorsqu’il veut mettre sur le marché un système d’IA à haut risque.
Beaucoup de ces obligations son « ex-ante », c’est-à-dire préalables à la mise sur le marché du système IA.
Il s’agit notamment pour le fournisseur de devoir identifier et analyser les risques potentiels du système IA envisagé, de prévoir une politique de gestion de ceux-ci, d’effectuer des tests des systèmes d’IA dans des environnements sécurisés avec des jeux de données pertinentes, de rédiger la documentation technique obligatoire, de prévoir la possibilité d’une intervention humaine, le cas échéant de demander la certification du système à une autorité notifiée, d’enregistrer le système dans la base de données de la Commission prévue à cet effet etc…
D’autres obligations perdurent après la mise sur le marché du système IA. Il s’agit par exemple de l’obligation pour le fournisseur de notifier les autorités de surveillance des incidents ou des modifications substantielles des systèmes IA, d’effectuer des tests réguliers etc. ..
4. La responsabilité des utilisateurs pour leur utilisation d’un système d’IA à haut risque
Les obligations des utilisateurs sont principalement limitées à l’usage du système IA en bon père de famille selon la notice d’utilisation fournie par le fournisseur et à la surveillance du fonctionnement du système d’IA ainsi que le cas échéant à la notification des risques substantiels ou incidents graves et dysfonctionnements dont ils pourraient être témoins aux autorités compétentes.
En matière de protection des données à caractère personnel, il incombe également aux utilisateurs (le cas échéant) de procéder à une analyse d’impact relative à la protection des données en vertu de l’article 35 du règlement (UE) 2016/679 ou de l’article 27 de la directive (UE) 2016/680.
Il est important de souligner que l’utilisateur fera également très attention lors de son utilisation de ne pas :
(a) mettre sur le marché ou mettre en service un système d’IA à haut risque sous son propre nom ou sa propre marque ;
(b) modifier la destination d’un système d’IA à haut risque déjà mis sur le marché ou mis en service ;
(c) apporter une modification substantielle au système d’IA à haut risque
Le risque si l’utilisateur est reconnu avoir adopté un de ces comportements est d’être considéré comme un fournisseur aux fins du règlement et être soumis aux obligations incombant au fournisseur (y compris les sanctions).
5. Les sanctions encourues par les opérateurs de systèmes d’IA
Les États membres devraient prendre toutes les mesures nécessaires pour que les dispositions du présent règlement soient mises en œuvre et, notamment, prévoir des sanctions effectives, proportionnées et dissuasives en cas de violation de ces dispositions (notamment en tenant compte de la nature et de la taille de la personne physique ou morale concernée).
Le règlement prévoit toutefois un cadre en matière de sanction administratives pécuniaires :
- Pour la mise sur le marché d’un système d’IA interdit ou en cas de non-respect de règles liées à la qualité des données l’amende pourra atteindre 30 millions d’euros ou 6% du chiffre d’affaires annuel mondial total de l’entreprise.
- Pour toutes les autres obligations prévues par le règlement des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’entreprise pourront être infligées.
- En cas de fourniture d’informations incorrectes, inexactes ou trompeuses aux autorités nationales compétentes, la sanction prévue est une amende administrative pouvant aller jusqu’à 10 millions d’euros ou 2% de son chiffre d’affaires annuel mondial total.
Conclusion
Le projet de règlement est actuellement en attente de la décision de la commission parlementaire.
Il est prévu que le règlement ne soit applicable que 2 ans après son entrée en vigueur et ne s’applique pas aux systèmes d’IA déjà sur le marché sauf dans la mesure ou ces systèmes subissent d’importantes modifications de leur conception ou de leur destination.
Nonobstant ce qui précède, les entités répondant à la définition de fournisseurs, importateurs ou distributeurs au sens de ce règlement qui ont déjà mis des systèmes d’IA sur le marché ou les utilisateurs qui utilisent des systèmes IA ou projettent d’utiliser d’en utiliser dans le cadre de leurs activités profesionelles seraient avisés de mener dès aujourd’hui une analyse interne afin de vérifier si ces systèmes ne tombent pas sous les pratiques interdites ou dans la catégorie des systèmes IA à haut risques.
[1] https://www.cnil.fr/fr/intelligence-artificielle-lavis-de-la-cnil-et-de-ses-homologues-sur-le-futur-reglement-europeen