La Commission européenne a récemment présenté son projet de Règlement européen pour l’harmonisation des législations en matière d’intelligence artificielle.
Ce projet encadre les systèmes d’IA en fonction des risques qu’ils représentent.
Le projet interdit les systèmes aux risques inacceptables (1). Pour les autres systèmes, le projet de Règlement instaure des obligations à la charge des fournisseurs et des utilisateurs.
Seuls les systèmes d’IA utilisés à titre professionnel sont concernés.
Les systèmes d’intelligence artificielle à risque élevé
Les systèmes d’intelligence artificielle à risque élevé sont de deux types selon qu’ils :
- sont couverts par une des législations européennes figurant sur la liste de l’annexe 2 du projet de Règlement.
Cela vise par exemple les systèmes d’IA concernant l’aviation civile, certains véhicules (type quadricycles), ou encore les dispositifs médicaux.
Un système d’IA est ainsi à risque élevé si :
i) il est destiné à être utilisé en tant que composant de sécurité d’un produit, ou est lui-même un produit régit par les législations ci-dessus, et
ii) s’il doit faire l’objet d’une évaluation de la conformité par un tiers selon ces législations.
- figurent sur la liste de l’annexe 3 du projet de règlement.
Ce sont notamment les systèmes relatifs à l’exploitation des infrastructures critiques, l’éducation, l’emploi ou à l’application de la loi.
Les systèmes d’IA à risque élevé soumis à évaluation
Pour ces systèmes, le projet met en place une mise en conformité à deux niveaux :
- Mise en conformité avant la mise sur le marché, notamment par la mise en place d’un système de gestion de risques du système d’IA, une politique de gouvernance des données d’entrainement, de validation et de test et d’un journal des évènements. En outre, il est prévu que ces systèmes doivent être robustes, précis, sécurisés et faire l’objet d’une supervision humaine effective.
A ce titre, les systèmes d’IA font l’objet d’une évaluation de conformité, suivie d’une déclaration de conformité.
Le fournisseur (soit l’entité qui développe ou fait développer un système d’IA en vue de le mettre sur le marché sous son nom ou sa marque) est ainsi tenu de s’assurer que les systèmes d’IA sont conformes aux exigences ci-dessus. Il doit également mettre en place un système de gestion de la qualité du système, élaborer sa documentation technique, ou encore apposer un marquage CE.
- Mise en conformité après la mise sur le marché, notamment par la surveillance du système. Ainsi, en cas de non-conformité, le fournisseur doit mettre en œuvre des actions correctives et en informer les autorités compétentes.
Les utilisateurs quant à eux devront notamment utiliser le système conformément aux instructions d’utilisation, ou, s’ils exercent un contrôle sur les données d’entrée du système, veiller à ce que ces données soient pertinentes.
Les systèmes d’intelligence artificielle à risque limité
Le projet de règlement prévoit des obligations spécifiques pour les systèmes d’IA :
- destinés à interagir avec des personnes physiques, comme par exemple un chatbot: les utilisateurs doivent être informées qu’ils interagissent avec un système d’IA.
- de reconnaissance des émotions ou d’un système de catégorisation biométrique: les utilisateurs doivent être informées du fonctionnement de l’IA.
- qui génèrent ou manipulent des Deepfake : les utilisateurs doivent révéler que le contenu a été manipulé ou généré artificiellement.
Les systèmes d’intelligence artificielle à risque faible
Les systèmes d’IA à risque faible ne sont soumis à aucune obligation particulière. Seule l’élaboration d’un code de conduite facultatif par les fournisseurs est proposée.
Cela concerne par exemple les systèmes d’IA qui trient les mails ou utilisés dans les jeux vidéo.
Gouvernance
En outre, le projet prévoit la désignation par les Etats Membres d’une autorité compétence pour assurer la bonne exécution du Règlement. De plus, il créé un Conseil européen en matière d’IA, notamment afin d’assurer l’exécution harmonisée de ses dispositions.
Sanctions prévues par le projet de règlement
La violation des obligations ci-dessus est passible d’une amende pouvant aller jusqu’à 20 millions d’euros, ou, pour les entreprises, jusqu’à 4% de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Toutefois, les manquements relatifs à la politique de gouvernance des données sont sanctionnés d’une amende pouvant s’élever à 30 millions d’euros ou, pour une entreprise, jusqu’à 6% de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
La date de soumission de ce projet au Parlement européen n’a pas encore été rendue publique. Toutefois, le Parlement semble impatient de se saisir de cette problématique puisqu’il a publié une résolution sur l’intelligence artificielle dans les domaines de l’éducation, de la culture et de l’audiovisuel le 19 mai dernier (2). En outre, les débats autour de l’adoption de ce projet d’importance s’annoncent longs et rudes.
Alain Bensoussan,
Jérémy Bensoussan
Marie Schwartz
Lexing Département Droit de l’intelligence artificielle et contentieux technologiques
______________________________
NOTES
(1) Voir notre Post du 17 juin 2020.
(2) Résolution du Parlement européen sur l’intelligence artificielle dans les domaines de l’éducation, de la culture et de l’audiovisuel, 19-5-2021 (2020/2017(INI))