La Commission Européenne a publié le 21 avril dernier sa proposition de Règlement du Parlement Européen et du Conseil Établissant des Règles Harmonisées Concernant l’Intelligence Artificielle (le règlement). La Commission avait publié en février 2020 un livre blanc sur ce sujet, Intelligence artificielle –Une approche européenne axée sur l’excellence et la confiance. Le Parlement Européen s’intéresse également aux enjeux de cette nouvelles technologies. Il a publié, par exemple, en octobre dernier, sa Résolution sur les droits de propriété intellectuelle pour le développement des technologies liées à l’intelligence artificielle.
La Commission estime qu’un règlement horizontal est nécessaire afin de prévenir une fragmentation du marché intérieur qui adviendrait si les différents États Membres légiféraient chacun de leur côté, ce qui réduirait la sécurité juridique des opérateurs développant ou utilisant des systèmes d’IA (Considérant 2).
L’article 3(1) du règlement définit un système d’IA comme :
« un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches (…) et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit. »
Les technologies de l’IA évoluent rapidement et sont un facteur de progrès puisqu’elles peuvent fournir de meilleures prédictions, optimiser les processus et l’allocation des ressources. Les maîtriser confèrent ainsi d’importants avantages concurrentiels aux entreprises, dans des domaines aussi variés que la santé, l’agriculture, l’éducation et la formation, la gestion des infrastructures, l’énergie, les transports et la logistique, les services publics, la sécurité, la justice, l’utilisation efficace des ressources et de l’énergie et l’atténuation du changement climatique (Considérant 3).
Une vocation universelle
Le règlement, comme le RGPD, a vocation à s’appliquer de manière universelle et « non discriminatoire aux fournisseurs de systèmes d’IA, qu’ils soient établis dans l’Union ou dans un pays tiers, et aux utilisateurs de systèmes d’IA établis dans l’Union » (Considérant 10).
En outre, un système d’IA relèvera du règlement, même s’il n’est pas mis sur le marché, mis en service, ou utilisé dans l’UE, si, par exemple, un opérateur établi dans l’UE charge un tiers établi en dehors de l’UE d’exécuter certains services en rapport avec une activité à haut risque d’un système d’IA dont les effets pourraient se faire sentir sur des personnes physiques dans l’UE (Considérant 11).
Quatre objectifs principaux
La proposition de règlement a quatre objectifs :
- La sûreté des systèmes d’IA mis sur le marché de l’UE et leur respect des lois relatives aux droits fondamentaux ainsi que des valeurs de l’UE ;
- La garantie de la sécurité juridique afin que les investissements et l’innovation dans le domaine de l’IA soient facilités ;
- Le renfort de la gouvernance et l’application effective de la législation en matière de droits fondamentaux, ainsi que des exigences de sécurité applicables aux systèmes d’IA; et
- Le développement d’un marché unique pour des applications d’IA légales, sûres et dignes de confiance, et empêcher la fragmentation du marché » (p.3).
Interdiction de certaines pratiques d’IA
Le règlement interdirait certaines pratiques en matière d’IA, détaillées dans son article 5.
Il s’agit, en particulier, de systèmes d’IA ayant recours à des techniques subliminales altérant le comportement d’une personne d’une manière susceptible de causer ou causant un dommage physique ou psychologique à cette personne ou à un tiers, les système d’IA exploitant les vulnérabilités dues à l’âge ou à un handicap physique ou mental afin d’«altérer substantiellement » le comportement d’une personne âgées ou handicapées, les systèmes établissant des classements, pour le compte d’une personne publique de la fiabilité de personnes physiques « en fonction de leur comportement social ou de caractéristiques personnelles ou de personnalité connues ou prédites » afin d’établir une « note sociale » en raison de laquelle une personne serait traitée d’une manière plus ou moins favorable.
Il existe en effet un réel danger de voir l’IA devenir un moyen technique de discrimination d’une efficacité redoutable pouvant ainsi mettre en danger les droits fondamentaux des individus, en particulier parce que les systèmes d’IA peuvent facilement être utilisés à des fins discriminatoires.
Il est important, à cet égard, de reconnaître que les êtres humains sont biaisés. Il est primordial de fournir à la machine des informations neutres et non discriminatoires. L’IA a le pouvoir d’amplifier les discriminations, mais également de les atténuer, voir de les éliminer… Tout dépend des données qui lui sont fournies, et ceci est un choix humain.
Rappelons que l’article 22 du RGPD exige que les personnes ont le droit « de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques l[es] concernant ou l[es]affectant de manière significative de façon similaire. »
IA et droits fondamentaux
L’IA est un facteur de progrès, mais également de risques « ou de conséquences négatives pour les personnes ou la société » (proposition, p. 1).
La Commission note que les technologies de l’IA peuvent être opaques, complexes, et dépendre des données. Leur comportement autonome est également un facteur de risque pour les droits fondamentaux consacrés dans la charte des droits fondamentaux de l’UE (p. 12).
Plusieurs de ces droits fondamentaux peuvent en effet être entravés par l’IA, tels le droit à la dignité humaine , le respect de la vie privée et la protection des données à caractère personnel, la non-discrimination, et l’égalité entre les femmes et les hommes.
Le droit à la liberté d’expression et à la liberté de réunion peuvent également être mis en danger par l’AI, ainsi que le droit à un recours effectif et à l’accès à un tribunal impartial, les droits de la défense et la présomption d’innocence. L’IA peut également un impact sur les droits de l’enfant et sur l’intégration des personnes handicapées.
Systèmes d’IA à haut risque
Un système d’IA est à haut risque si deux conditions sont remplies :
- Le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par certains actes législatifs d’harmonisation de l’Union énumérés à l’annexe II du règlement, ou constitue lui-même un tel produit ; et
- « le produit dont le composant de sécurité est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de la conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit »conformément à ces mêmes actes législatifs d’harmonisation de l’UE (article 6).
En ce cas, le système devra être enregistré, un système de gestion des risques devra être établi, mis en œuvre, documenté, et tenu à jour (article 9). En outre, une documentation technique devra être établie avant la mise sur le marché ou la mise en service. Cette documentation devra être tenue à jour (article 11). Il faudra également que des journaux soient automatiquement générés par ces systèmes d’IA à haut risque.
Les systèmes d’IA à haut risque doivent être conçus et développé de telle manière qu’un être humain puisse prendre leur contrôle effectif « au moyen d’interfaces homme-machine appropriées » (article 14). Il s’agit là de l’exigence d’un « “human-in-the-loop”, de l’homme dans le circuit.
Obligations de transparence
Les fournisseurs de système d’IA destinés à interagir avec des personnes physiques devront veiller à ce qu’ils soient « conçus et développés de manière à ce que les personnes physiques soient informées qu’elles interagissent avec un système d’IA » (article 52), sauf si ces systèmes sont utilisés à des fins de détection et de poursuite des infractions pénales.
Code de conduite
Selon l’article 69 du règlement, la «Commission et les États membres encouragent et facilitent l’élaboration de codes de conduite destinés à favoriser l’application volontaire aux systèmes d’IA autres que les systèmes d’IA à haut risque. » Ces codes de bonne conduite ne seraient ainsi pas obligatoires, simplement « encouragés :
IA et compliance
Les entreprises auront à respecter des charges réglementaires si leur système d’IA est susceptible de présenter des risques élevés pour les droits fondamentaux et la sécurité.
Si tel n’est pas le cas, les entreprises n’auront que des obligations de transparence à respecter, telle, par exemple, l’obligation d’informer les utilisateurs qu’ils interagissent avec un système d’IA. Si une entreprise met en place un système d’IA à haut risque, les nouvelles obligations de compliance liées à l’IA en matière « de données de haute qualité, de documentation, de traçabilité, de transparence, de contrôle humain, d’exactitude et de robustesse se limitent au strict nécessaire pour atténuer les risques pour les droits fondamentaux et la sécurité qui sont associés à l’IA et qui ne sont pas couverts par d’autres cadres juridiques existants » (p.8).
L’article 56 du règlement prévoit la création d’un « Comité européen de l’intelligence artificielle» .
Le règlement ne s’appliquera pas aux systèmes d’intelligence artificielle (IA) développés ou utilisés exclusivement à des fins militaires (article 2.3).
Image is courtesy of Flickr user Whatleydude under a CC BY 2.0 license.