L’Union européenne va se doter d’un règlement sur l’intelligence artificielle (IA). Après plus de 36 heures d’intenses négociations lors de la cinquième session du trilogue entre le Conseil européen, le Parlement et la Commission, les parties sont parvenues à un début d’accord politique sur le texte final du règlement.
Ainsi, et dans l’attente de la finalisation de nombreux détails techniques, l’approbation finale par le Conseil et le Parlement est attendue, en tant qu’étape préalable à sa publication au JOUE.
Le règlement devrait entrer en vigueur 20 jours après sa publication, bien qu’il ne devienne applicable que 24 mois plus tard, à l’exception de certaines dispositions relatives aux systèmes considérés comme interdits, qui ne deviendront applicables que dans six mois, et de certaines dispositions relatives aux modèles dits à usage général, qui deviendront applicables dans les 12 mois suivants.
Pour parvenir à cet accord, les négociateurs ont dû surmonter leurs divergences sur des questions pertinentes apparues au cours des derniers mois. Ces divergences ont été déclenchées par le concept même d’intelligence artificielle (sur lequel une conception plus proche de celle de l’OCDE semble avoir prévalu, ce qui facilitera sans doute la poursuite des négociations avec les Etats-Unis et le Royaume-Uni).
Mais les points d’achoppement les plus importants ont porté sur les systèmes d’IA interdits, sur l’exclusion des systèmes d’IA à des fins de défense, sur les exigences établies pour les modèles fondateurs qui servent de base aux systèmes d’IA génératifs, sur les systèmes de reconnaissance faciale en temps réel dans les espaces publics, sur les mesures de gouvernance à appliquer aux systèmes à haut risque, ainsi que sur la procédure de sanction.
Comme nous l’avons indiqué au début, la formulation précise de certains aspects spécifiques est encore en suspens, ainsi que la traduction dans les différentes langues de l’Union, afin de pouvoir connaître le texte final. Mais l’importance d’un texte qui constitue la première réglementation démocratique d’envergure de cette technologie ne peut être ignorée. Parmi les principaux aspects de l’accord obtenu, il convient de souligner les suivants :
Définitions et champ d’application
Afin de garantir que la définition d’un système d’IA fournisse des critères suffisamment clairs pour distinguer l’IA de logiciels plus simples, l’accord de compromis aligne la définition sur l’approche proposée par l’OCDE.
L’accord provisoire précise également que le règlement ne s’appliquera pas aux domaines ne relevant pas du droit de l’UE et qu’il n’affectera en rien les compétences des États membres dans le domaine de la sécurité nationale ou de toute entité chargée de tâches dans ce domaine.
En outre, l’acte sur l’IA ne s’appliquera pas aux systèmes utilisés exclusivement à des fins militaires ou de défense.
De même, l’accord stipule que le règlement ne s’appliquera pas aux systèmes d’IA utilisés exclusivement à des fins de recherche et d’innovation, ni aux personnes utilisant l’IA à des fins non professionnelles.
Applications interdites
Certaines utilisations de l’IA sont considérées comme présentant un risque jugé inacceptable, notamment pour les droits des citoyens, et ces systèmes seront donc interdits dans l’UE.
Concrètement, reconnaissant la menace potentielle que représentent certaines applications de l’IA pour les droits des citoyens et la démocratie, les colégislateurs sont convenus d’interdire :
– les systèmes de catégorisation biométrique qui utilisent les données sensibles des individus (par exemple, les convictions politiques, religieuses ou philosophiques, l’orientation sexuelle, la race) ;
– les systèmes de surveillance prédictive ;
– les systèmes d’extraction non ciblée d’images faciales à partir d’Internet ou d’images de vidéosurveillance pour créer des bases de données de reconnaissance faciale ;
– les systèmes de reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement ;
– les systèmes de notation sociale basés sur le comportement social ou les caractéristiques personnelles ;
– les systèmes d’IA qui manipulent le comportement humain pour contourner le libre arbitre ;
– Systèmes d’IA destinés à exploiter les vulnérabilités des personnes (en raison de leur âge, de leur handicap, de leur situation sociale ou économique).
Systèmes à haut risque
L’accord de compromis prévoit une couche horizontale de protection, y compris une classification des systèmes à haut risque, afin de garantir que les systèmes d’IA qui ne sont pas susceptibles de provoquer des violations graves des droits fondamentaux ou d’autres risques importants ne soient pas inclus dans cette classification. Les systèmes d’IA qui ne présentent qu’un risque limité seraient soumis à des obligations de transparence très légères, par exemple celle d’indiquer que le contenu a été généré par l’IA afin que les utilisateurs puissent décider en connaissance de cause de son utilisation ultérieure.
Comme l’a expliqué le Conseil, un large éventail de systèmes d’IA à haut risque serait autorisé, mais soumis à un certain nombre d’exigences et d’obligations pour accéder au marché de l’UE. À cet égard, ces exigences ont été clarifiées et ajustées pour les rendre techniquement plus réalisables et moins contraignantes à respecter pour les parties prenantes, par exemple en termes de qualité des données, ou en ce qui concerne la documentation technique à produire par les PME pour démontrer que leurs systèmes d’IA à haut risque sont conformes aux exigences.
Étant donné que les systèmes d’IA sont développés et distribués par l’intermédiaire de chaînes de valeur complexes, l’accord de compromis comprend des modifications qui clarifient l’attribution des responsabilités et des rôles des différents acteurs de ces chaînes, en particulier les fournisseurs et les utilisateurs de systèmes d’IA. Il clarifie également la relation entre les responsabilités prévues par la loi sur l’IA et celles qui existent déjà dans le cadre d’autres législations, telles que la législation de l’UE sur la protection des données.
Obligations pour les systèmes à haut risque
Un certain nombre d’obligations spécifiques sont prévues pour les systèmes d’IA considérés comme présentant un risque élevé (en raison des dommages potentiels importants qu’ils peuvent causer à la santé, à la sécurité, aux droits fondamentaux, à l’environnement, à la démocratie et à l’État de droit).
– Les systèmes d’IA utilisés pour influencer le résultat des élections et le comportement des électeurs sont inclus dans cette classification.
– Entre autres exigences, ces systèmes devront obligatoirement faire l’objet d’une évaluation d’impact sur les droits fondamentaux, notamment lorsqu’ils sont utilisés dans les secteurs de la banque et de l’assurance.
– Les citoyens auront le droit de déposer des plaintes concernant les systèmes d’IA et de recevoir des explications sur les décisions fondées sur des systèmes d’IA à haut risque qui affectent leurs droits.
Mesures de soutien à l’innovation et aux PME. Des environnements d’essai contrôlés
Les députés ont voulu s’assurer que les entreprises, en particulier les PME, puissent développer des solutions d’intelligence artificielle sans subir de pressions excessives de la part des géants de l’industrie qui contrôlent la chaîne de valeur. À cette fin, l’accord encourage les environnements d’essai réglementaires et les essais en conditions réelles, mis en place par les autorités nationales pour développer et former l’intelligence artificielle innovante avant sa commercialisation.
Un nouveau modèle de gouvernance de l’IA
À la suite des nouvelles normes sur les modèles GPAI et à la nécessité évidente de les appliquer au niveau de l’UE, un bureau IA (Office IA) est établi au sein de la Commission pour superviser ces modèles IA plus avancés, pour aider à promouvoir les normes et les pratiques d’essai et pour appliquer des normes communes dans tous les États membres. Un groupe scientifique d’experts indépendants conseillera l’Office IA sur les modèles GPAI, en contribuant à l’élaboration de méthodes d’évaluation des capacités des modèles fondamentaux, en prodiguant des conseils sur la désignation et l’émergence de modèles fondamentaux à fort impact, et en surveillant les risques potentiels pour la sécurité des matériaux liés aux modèles fondamentaux.
Le conseil d’administration de l’IA, composé de représentants des États membres, restera une plateforme de coordination et un organe consultatif pour la Commission. Il jouera un rôle important pour les États membres dans la mise en œuvre du règlement, y compris dans l’élaboration de codes de pratique pour les modèles sous-jacents. Enfin, un forum consultatif pour les parties prenantes, telles que les représentants de l’industrie, des PME, des start-ups, de la société civile et du monde universitaire, sera mis en place pour fournir une expertise technique au Conseil IA.
Les sanctions
Le non-respect des règles fixées par le règlement peut entraîner des amendes allant de 35 millions d’euros ou 7 % du chiffre d’affaires global à 7,5 millions ou 1,5 % du chiffre d’affaires, en fonction de l’infraction et de la taille de l’entreprise.