Le 14 juin 2023, les députés européens avaient adopté leur position de négociation sur le règlement européen sur l’Intelligence Artificielle (IA). Depuis, les États membres au sein du Conseil européen et le Parlement européen cherchaient à s’accorder sur une position commune relative aux règles régissant les systèmes d’intelligence artificielle.
Le 9 décembre 2023, un accord politique historique a finalement été trouvé : l’AI Act sera la première réglementation globale sur l’intelligence artificielle au monde.
Cette nouvelle réglementation vise à assurer le développement et le déploiement de systèmes d’intelligence artificielle garantissant la sécurité de l’IA dans le respect des droits fondamentaux, de la démocratie et de l’État de droit, du développement durable et du développement des entreprises dont leur capacité à innover. Ainsi, l’objectif poursuivi par ce règlement visera en premier lieu la protection des citoyens européens vis-à-vis des risques propres à l’utilisation de l’IA, tout en encourageant l’innovation afin que l’Union européenne et ses entreprises technologiques soient en mesure d’être des leaders dans ce domaine.
Afin d’atteindre un tel objectif, les règles adoptées sont fonction du niveau de risque et d’impact que l’IA en question peut générer. Cette logique repose sur la distinction entre la technologie et son application, et se concentre donc sur le contexte dans lequel l’IA considérée est utilisée.
La ligne directrice que l’Union se fixe est de promouvoir un développement de l’IA centrée sur l’humain.
Applications interdites et systèmes à haut risque
Certains cas d’usage, en raison des atteintes potentielles pour les droits des citoyens et la démocratie, seront interdits par le texte à venir. Il s’agit par exemple de l’utilisation de systèmes d’IA :
- en vue de l’exploitation des vulnérabilités des personnes (en raison de leur âge, de leur handicap ou de leur situation économique),
- introduisant une notation sociale fondée sur le comportement social de l’individu,
- reposant sur des extractions non ciblées d’images de visages sur internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale, et équivalents.
Les négociateurs des États membres sont parvenus à introduire un régime d’exemption pour l’utilisation de systèmes d’identification biométrique à des fins répressives dans les espaces accessibles au public. Cette exception, notamment défendue par la France, est soumise à des garanties spécifiques et sera notamment possible uniquement sous réserve d’une autorisation judiciaire préalable et pour des listes d’infractions strictement définies, telle que la recherche ciblée de victime (enlèvement, traite, exploitation sexuelle), la prévention du terrorisme ou la localisation de personnes susceptibles d’avoir commis un crime spécifiquement mentionné par le règlement (terrorisme, traite, etc.).
Pour les systèmes d’IA classés comme présentant un risque élevé (en raison de leur préjudice potentiel important pour la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et l’État de droit), des obligations strictes ont été convenues comme une analyse d’impact préalable obligatoire et l’obligation de fournir des explications aux personnes concernées sur les décisions basées sur ces systèmes.
Des garde-fous pour les systèmes d’IA à usage général
Les systèmes d’IA à usage général sont principalement soumis à des exigences de transparence et de responsabilisation (documentation technique à jour, conformité à la législation européenne sur le droit d’auteur, diffusion de résumés détaillés sur le contenu utilisé pour la formation des systèmes d’IA). Lorsque ces systèmes présentent un risque systémique, des obligations plus strictes peuvent venir s’ajouter (réalisation de tests contradictoires, obligation d’assurer la cybersécurité des systèmes, obligation d’atténuer les risques systémiques, obligation de rendre compte à la Commission d’incidents graves, etc.).
Obligatoire pour les systèmes d’IA présentant un risque élevé, l’évaluation ou analyse d’impact est un outil central de responsabilisation y compris pour les systèmes d’IA à usage général. L’évaluation ou l’analyse d’impact va permettre d’identifier les impacts et risques soulevés par une solution d’IA sur la vie privée, les données, la cybersécurité, etc. ainsi que de prendre et documenter les mesures visant à réduire ou mitiger l’impact / le risque.
Sanctions
L’effectivité de l’AI Act sera assurée par un ensemble d’amendes, calculées sur les revenus des contrevenants, similairement à ce qui existe déjà pour le RGPD (et en matière de droit de la concurrence). Ainsi, le non-respect des règles de l’AI Act pourra entraîner des amendes allant de 7,5 millions d’euros, ou 1,5 % du chiffre d’affaires, à 35 millions d’euros, ou 7 % du chiffre d’affaires mondial, en fonction de l’infraction et de la taille de l’entreprise.
Prochaines étapes
Le projet de règlement doit maintenant être adopté de manière formelle par le Parlement et le Conseil européen afin de faire partie intégrante de la législation de l’Union européenne. Cette adoption aura lieu lors d’une session à venir de la Commission du marché intérieur et des libertés civiles du Parlement européen. A cette occasion, les parlementaires peuvent encore apporter de nouveaux éléments techniques dans le texte qui sera discuté, mais l’adoption d’un AI Act d’ici 2025, que d’aucuns estimaient miraculeuse semble à portée de mains.
