Ce règlement tente une approche équilibrée entre la protection des droits fondamentaux, de la démocratie, de l’État de droit, de la durabilité environnementale contre les risques liés à l’intelligence artificielle (IA), tout en encourageant l’innovation et en faisant de l’Europe un acteur de premier plan dans ce domaine. Le règlement établit des obligations pour les systèmes d’IA en fonction de leurs risques potentiels et de leur niveau d’impact.
Ainsi, le règlement interdit en premier lieu le recours aux systèmes d’IA « qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance » ainsi que ceux qui visent à « inférer les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement ».
Néanmoins le texte ouvre la porte à deux exceptions : la possibilité d’y recourir pour « des raisons médicales ou de sécurité », ce qui laisse une forte marge d’appréciation, notamment pour la question de la sécurité : est-ce que cela vise la sécurité des salariés comme les dispositifs permettant de lutter contre le risque d’endormissement au volant ou bien s’agit-il de la sécurité des biens de l’employeur, légitimant alors des outils de surveillance contre le vol ?
Est également interdite l’utilisation de systèmes qui catégorisent individuellement les personnes physiques sur la base de leurs données biométriques afin d’arriver à « des déductions ou des inférences concernant leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle ». À noter que ces systèmes pourront tout de même servir à la recherche d’une personne disparue ou à la prévention d’une attaque terroriste.
L’encadrement des systèmes IA à haut risque
En second lieu, le règlement prévoit l’encadrement des systèmes d’IA à haut risque. Pour le monde du travail il s’agit des systèmes d’IA destinés à être utilisés : pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d’emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats ; pour prendre des décisions influant sur les conditions des relations professionnelles : la promotion ou le licenciement dans le cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la base du comportement individuel, de traits de personnalités ou de caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement de personnes dans le cadre de telles relations.
Avant de mettre en service ou d’utiliser un système d’IA à haut risque sur le lieu de travail, le règlement oblige les employeurs (« déployeurs »), à informer « les représentants des travailleurs et les travailleurs concernés qu’ils seront soumis à l’utilisation du système d’IA à haut risque » conformément aux règles et procédures prévues par le droit de l’Union et le droit national et aux pratiques en matière d’information des travailleurs et de leurs représentants.
Les règles applicables aux IA à usage général
Enfin la dernière catégorie est celle des systèmes d’IA à usage général dont ceux présentant « un risque systémique » qui sont soumis à des obligations de transparence. Ces systèmes et les modèles sur lesquels ils sont basés devront respecter des exigences de transparence et la législation européenne sur les droits d’auteurs, ainsi que la publication de résumés détaillés des contenus utilisés pour leur entraînement. Les systèmes d’IA à usage général plus puissants présentant un risque systémique seront soumis à des exigences supplémentaires. Par exemple, des évaluations de modèles devront être effectuées, les risques systémiques devront être évalués et atténués et les incidents devront être signalés.
Une fois adopté, le règlement sera pleinement applicable 24 mois après son entrée en vigueur, à l’exception de l’interdiction des pratiques interdites, qui s’appliquera 6 mois après la date d’entrée en vigueur, des codes de pratique (9 mois après l’entrée en vigueur), des règles concernant l’IA à usage général, notamment la gouvernance (12 mois après l’entrée en vigueur), et des obligations pour les systèmes à haut risque (36 mois). « La loi sur l’IA est le point de départ d’un nouveau modèle de gouvernance fondé sur la technologie, souligne le co-rapporteur de la commission des libertés civiles du Parlement européen, Dragos Tudorache (Renew). Nous devons maintenant nous concentrer sur la mise en pratique de cette législation».
Comme elle l’a précisé en décembre dernier, après l’adoption du compromis, la Confédération européenne des syndicats (CES) estime que « malgré ces développements positifs, la loi sur l’IA n’aborde pas la réalité à laquelle les travailleurs doivent faire face et les mesures ciblées dont ils ont besoin ». Pour combler cette lacune, elle « demande une directive spécifique sur les systèmes algorithmiques sur le lieu de travail. Une telle directive devrait faire respecter le principe du contrôle humain et permettre aux syndicats et aux représentants des travailleurs d’influencer les décisions relatives à la mise en œuvre de l’IA ».