Le nouveau règlement tente une approche équilibrée entre la protection des droits fondamentaux, de la démocratie, de l’État de droit, de la durabilité environnementale contre les risques liés à l’intelligence artificielle (IA), tout en stimulant l’innovation et en faisant de l’Europe un acteur de premier plan dans ce domaine. Le règlement établit des obligations pour les systèmes d’IA en fonction de leurs risques potentiels et de leur niveau d’impact.
Ainsi, le règlement interdit en premier lieu le recours aux systèmes d’IA « qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance » (article 5 § 2 e) ainsi que ceux qui visent à « inférer les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement » (article 5 § 2 f).
Néanmoins le texte ouvre la porte à deux exceptions : la possibilité d’y recourir pour « des raisons médicales ou de sécurité », ce qui laisse une forte marge d’appréciation, notamment pour la question de la sécurité : est-ce que cela vise la sécurité des salariés comme les dispositifs permettant de lutter contre le risque d’endormissement au volant ou bien s’agit-il de la sécurité des biens de l’employeur, légitimant alors des outils de surveillance contre le vol ? Cette disposition inquiète les organisations syndicales.
Est également interdite l’utilisation de systèmes qui catégorisent individuellement les personnes physiques sur la base de leurs données biométriques afin d’arriver à « des déductions ou des inférences concernant leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle ». Cependant, « cette interdiction ne couvre pas l’étiquetage ou le filtrage d’ensembles de données biométriques acquis légalement, tels que des images, fondées sur des données biométriques ou la catégorisation de données biométriques dans le domaine répressif » (article 5 § 2 g). Ainsi ces systèmes pourront tout de même servir à la recherche d’une personne disparue ou à la prévention d’une attaque terroriste.
L’encadrement des systèmes IA à haut risque
En second lieu, l’annexe III du règlement prévoit l’encadrement des systèmes d’IA à haut risque. Pour le monde du travail il s’agit des systèmes d’IA destinés à être utilisés :
1/ pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d’emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats (point 4 a) ;
2/ pour « prendre des décisions influant sur les conditions des relations professionnelles, la promotion ou le licenciement dans le cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la base du comportement individuel, de traits de personnalité ou de caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement de personnes dans le cadre de telles relations » (point 4 b).
L’annexe comprend aussi une liste d’IA à haut risque dans le champ de l’éducation et de la formation professionnelle. Sont considérées comme telle, les systèmes destinés à :
- être utilisés pour déterminer l’accès, l’admission ou l’affectation de personnes physiques à des établissements d’enseignement et de formation professionnelle, à tous les niveaux (point 3 a) ;
- pour évaluer les acquis d’apprentissage, y compris lorsque ceux-ci sont utilisés pour orienter le processus d’apprentissage de personnes physiques dans les établissements d’enseignement et de formation professionnelle, à tous les niveaux (point 3 b) ;
- être utilisés pour évaluer le niveau d’enseignement approprié qu’une personne recevra ou sera en mesure d’atteindre, dans le contexte ou au sein d’établissements d’enseignement et de formation professionnelle à tous les niveaux (point 3 c) ;
- être utilisés pour surveiller et détecter des comportements interdits chez les étudiants lors d’examens dans le contexte d’établissements d’enseignement et de formation ou en leur sein à tous les niveaux (point 3 d).
Avant de mettre en service ou d’utiliser un système d’IA à haut risque sur le lieu de travail, le règlement oblige les employeurs (« déployeurs »), à informer « les représentants des travailleurs et les travailleurs concernés qu’ils seront soumis à l’utilisation du système d’IA à haut risque » conformément aux règles et procédures prévues par le droit de l’Union et le droit national et aux pratiques en matière d’information des travailleurs et de leurs représentants (article 27 § 7).
Les règles applicables aux IA à usage général
Enfin, la dernière catégorie est celle des systèmes d’IA à usage général dont ceux présentant « un risque systémique » qui sont soumis à des obligations de transparence. Ces systèmes et les modèles sur lesquels ils sont basés devront respecter des exigences de transparence, la législation européenne sur les droits d’auteurs, ainsi que la publication de résumés détaillés des contenus utilisés pour leur entraînement. Les systèmes d’IA à usage général plus puissants présentant un risque systémique seront soumis à des exigences supplémentaires. Par exemple, des évaluations de modèles devront être effectuées, les risques systémiques devront être évalués et atténués et les incidents devront être signalés.
Dernière étape et mise en œuvre
Une fois adopté, le règlement sera pleinement applicable 24 mois après son entrée en vigueur, à l’exception de l’interdiction des pratiques interdites – qui s’appliquera 6 mois après la date d’entrée en vigueur-, des codes de pratique (9 mois après l’entrée en vigueur), des règles concernant l’IA à usage général, notamment la gouvernance (12 mois après l’entrée en vigueur), et des obligations pour les systèmes à haut risque (36 mois).
Le règlement met en place plusieurs organes de gouvernance pour garantir une application correcte de la législation :
1/ un bureau de l’IA au sein de la Commission, chargé de faire appliquer les règles communes dans l’ensemble de l’UE ;
2/ un groupe scientifique d’experts indépendants chargé de soutenir les activités de mise en œuvre ;
3/ un conseil de l’IA, composé de représentants des États membres, chargés de conseiller et d’assister la Commission et les États membres pour une application cohérente et efficace de la loi sur l’IA ;
4/ Un forum consultatif pour les parties prenantes, y compris les partenaires sociaux, afin de fournir une expertise technique à la commission AI et à la Commission.
Réactions des partenaires sociaux
Comme elle l’a précisé en décembre 2023, après l’adoption du compromis, la Confédération européenne des syndicats (CES) estime que « malgré ces développements positifs, la loi sur l’IA n’aborde pas la réalité à laquelle les travailleurs doivent faire face et les mesures ciblées dont ils ont besoin ». Pour combler cette lacune, elle « demande une directive spécifique sur les systèmes algorithmiques sur le lieu de travail. Une telle directive devrait faire respecter le principe du contrôle humain et permettre aux syndicats et aux représentants des travailleurs d’influencer les décisions relatives à la mise en œuvre de l’IA ».
De son côté, l’organisation patronale BusinessEurope a déclaré, en mars dernier, que « pour vraiment exceller dans le domaine de l’IA, l’Europe doit soutenir les entreprises qui innovent » et « faciliter l’accès au capital et au financement pour le développement de l’IA ».