L’accord provisoire conclu le 8 décembre entre le Conseil et le Parlement européens sur le projet de loi sur l’intelligence artificielle (IA) ou Artificial Intelligence Act (AIA), jette les bases juridique d’un système harmonisé de régulation à l’échelle européenne qui devrait avoir un impact structurant, similaire au RGPD sur la protection des données personnelles. Cette nouvelle législation, qui sera mise en œuvre sous la forme d’un règlement, est une première mondiale pour cette activité en plein essor.
Thierry Breton, le commissaire européen au Marché intérieur n’a pas hésité à le présenter comme un accord historique. « L’UE devient le premier continent à fixer des règles claires pour l’utilisation de l’IA » s’est-il réjoui dans un post sur le réseau X le 8 décembre. Selon un communiqué du Conseil européen, le projet de règlement autrement appelé « loi sur l’Intelligence artificielle » (en anglais Artificial Intelligence Act-AIA), vise à « garantir que les systèmes d’IA mis sur le marché européen et utilisés dans l’UE sont sûrs et respectent les droits fondamentaux et les valeurs de l’UE ». L’objectif est également de « stimuler l’investissement et l’innovation dans le domaine de l’IA en Europe ».
Le projet de loi a suivi une approche basée sur le risque : plus le risque est élevé, plus les règles sont strictes. « En tant que première proposition législative de ce type dans le monde, elle peut établir une norme mondiale pour la réglementation de l’IA dans d’autres juridictions, tout comme l’a fait le RGPD, promouvant ainsi l’approche européenne de la réglementation technologique sur la scène mondiale » estime le Conseil.
Principaux éléments nouveaux
Quels sont les principaux axes nouveaux de cet accord provisoire ? Nous donnons ci-après les détails fournis par le communiqué du Conseil.
Par rapport à la proposition initiale de la Commission, les principaux éléments nouveaux de l’accord provisoire peuvent être résumés comme suit :
-des règles s’appliqueront aux « modèles d’IA à usage général à fort impact » qui peuvent entraîner un risque systémique à l’avenir, ainsi qu’aux « systèmes d’IA à haut risque » ;
-un « système de gouvernance révisé » avec certains pouvoirs d’exécution au niveau de l’UE sera mis en place ;
– la « liste des interdictions a été élargie », mais avec la possibilité d’utiliser « l’identification biométrique à distance » par les forces de l’ordre dans les espaces publics, sous réserve de garanties ;
-une meilleure protection des droits sera assurée grâce à l’obligation pour les acteurs voulant déployer des systèmes d’IA à haut risque de procéder à une « évaluation de l’impact sur les droits fondamentaux » préalable à la mise en service;
Les principaux points de l’accord provisoire
Plus concrètement, l’accord provisoire porte sur les aspects suivants :
1/-Définitions et champ d’application
Pour s’assurer que la définition d’un système d’IA fournit des critères suffisamment clairs pour distinguer l’IA des systèmes logiciels plus simples, l’accord de compromis aligne la définition sur l’approche proposée par l’OCDE.
La défitition de l’OCDE
« Un système d’intelligence artificielle est un système automatisé qui, pour un ensemble donné d’objectifs, est en mesure d’établir des prévisions, de formuler des recommandations, ou de prendre des décisions influant sur l’environnement. Il utilise des données et entrées générées par la machine et/ou apportées par l’homme pour (i) percevoir des environnements réels et/ou virtuels ; (ii) produire une représentation abstraite de ces perceptions sous forme de modèles issus d’une analyse automatisée (par exemple, apprentissage automatisé) ou manuelle ; et (iii) utiliser les résultats inférés du modèle pour formuler différentes options de résultats. Les systèmes d’IA sont conçus pour fonctionner à des degrés d’autonomie divers. »
Source : OCDE
L’accord provisoire précise également que le règlement ne s’applique pas aux domaines qui ne relèvent pas du champ d’application du droit de l’Union et ne devrait en aucun cas affecter les compétences des États membres en matière de sécurité nationale ou de toute entité chargée de tâches dans ce domaine. Il ne s’appliquera ni aux systèmes utilisés exclusivement à des fins militaires ou de défense, ni aux systèmes utilisés à des fins exclusives de recherche et d’innovation, ni enfin aux personnes utilisant l’IA pour des raisons non professionnelles.
2/ Classification des systèmes d’IA en tant que pratiques d’IA à haut risque et interdites
L’accord prévoit une « couche horizontale de protection », y compris une classification à haut risque, afin de garantir que les systèmes d’IA qui ne sont pas susceptibles de causer de graves violations des droits fondamentaux ou d’autres risques importants ne soient pas pris en compte. Les systèmes d’IA ne présentant qu’un risque limité seraient soumis à des obligations de transparence très légères, par exemple en divulguant que le contenu a été généré par l’IA afin que les utilisateurs puissent prendre des décisions éclairées sur une utilisation ultérieure.
Un large éventail de systèmes d’IA à haut risque serait autorisé, mais soumis à un ensemble d’exigences et d’obligations pour accéder au marché de l’UE. Ces exigences ont été clarifiées et ajustées par les colégislateurs de manière à ce qu’elles soient plus réalisables techniquement et moins contraignantes pour les parties prenantes, par exemple en ce qui concerne la qualité des données, ou en ce qui concerne la documentation technique qui devrait être établie par les PME pour démontrer que leurs systèmes d’IA à haut risque sont conformes aux exigences.
Étant donné que les systèmes d’IA sont développés et distribués par le biais de chaînes de valeur complexes, l’accord de compromis comprend des changements clarifiant la répartition des responsabilités et des rôles des différents acteurs de ces chaînes, en particulier les fournisseurs et les utilisateurs de systèmes d’IA. Il clarifie également la relation entre les responsabilités en vertu de la loi sur l’IA et les responsabilités qui existent déjà en vertu d’autres législations, telles que la législation sectorielle ou celle sur la protection des données de l’UE.
Pour certaines utilisations de l’IA, le risque est jugé inacceptable et, par conséquent, ces systèmes seront bannis de l’UE. L’accord provisoire interdit, par exemple, la manipulation cognitivo-comportementale, la suppression non ciblée d’images faciales sur Internet ou de séquences de vidéosurveillance, la reconnaissance des émotionssur le lieu de travail et dans les établissements d’enseignement, la notation sociale, la catégorisation biométrique pour déduire des données sensibles, telles que l’orientation sexuelle ou les croyances religieuses, et certains cas de police prédictive pour les particuliers.
3/ Exceptions relatives à l’application de la loi
Compte tenu des spécificités des autorités chargées de l’application de la loi et de la nécessité de préserver leur capacité à utiliser l’IA dans le cadre de leur travail essentiel, plusieurs modifications de la proposition de la Commission ont été convenues concernant l’utilisation des systèmes d’IA à des fins répressives.
Sous réserve de garanties appropriées, ces changements visent à refléter la nécessité de respecter la confidentialité des données opérationnelles sensibles en lien avec leurs activités. Par exemple, une procédure d’urgence a été introduite permettant aux forces de l’ordre de déployer un outil d’IA à haut risque qui n’a pas passé la procédure d’évaluation de la conformité en cas d’urgence. Cependant, un mécanisme spécifique a également été mis en place pour garantir que les droits fondamentaux seront suffisamment protégés contre toute utilisation abusive potentielle des systèmes d’IA.
En outre, en ce qui concerne l’utilisation de systèmes d ‘identification biométrique à distance en temps réel dans les espaces accessibles au public, l’accord provisoire clarifie les objectifs lorsqu’une telle utilisation est strictement nécessaire à des fins répressives et pour lesquels les autorités répressives devraient donc être exceptionnellement autorisées à utiliser de tels systèmes. L’accord de compromis prévoit des garanties supplémentaires et limite ces exceptions aux cas de victimes de certains crimes, à la prévention de menaces réelles, présentes ou prévisibles, telles que les attaques terroristes, et aux recherches de personnes soupçonnées des crimes les plus graves.
4/ Systèmes d’IA à usage général et modèles de base
De nouvelles dispositions ont été ajoutées pour tenir compte des situations où les systèmes d’IA peuvent être utilisés à de nombreuses fins différentes (IA à usage général) et où la technologie d’IA à usage général est ensuite intégrée à un autre système à haut risque. L’accord provisoire aborde également les cas spécifiques des systèmes d’IA à usage général (IAGP).
Des règles spécifiques ont également été convenues pour les modèles de fondation, de grands systèmes capables d’effectuer avec compétence un large éventail de tâches distinctives, telles que la génération de vidéos, de textes, d’images, la conversation en langage latéral, l’informatique ou la génération de code informatique.
L’accord provisoire prévoit que les modèles de fondations doivent respecter des obligations spécifiques en matière de transparence avant d’être mis sur le marché. Un régime plus strict a été introduit pour les modèles de fondations à « fort impact ». Il s’agit de modèles de base entraînés avec une grande quantité de données et avec une complexité, des capacités et des performances avancées bien supérieures à la moyenne, qui peuvent diffuser des risques systémiques tout au long de la chaîne de valeur.
5/ Une nouvelle architecture de gouvernance
À la suite des nouvelles règles sur les modèles IAGP et de la nécessité évidente de leur application au niveau de l’UE, un bureau de l’IA au sein de la Commission est mis en place pour superviser ces modèles d’IA les plus avancés, contribuer à la promotion des normes et des pratiques de test, et faire respecter les règles communes dans tous les États membres.
Un groupe scientifique d’experts indépendants conseillera le Bureau de l’IA sur les modèles d’IAGP, en contribuant à l’élaboration de méthodologies d’évaluation des capacités des modèles de fondation, en donnant des conseils sur la désignation et l’émergence de modèles de fondations à fort impact, et en surveillant les risques possibles pour la sécurité des matériaux liés aux modèles de fondation.
Le Conseil de l’IA, qui serait composé de représentants des États membres, restera une plate-forme de coordination et un organe consultatif auprès de la Commission et jouera un rôle important dans la mise en œuvre du règlement, y compris la conception de codes de bonnes pratiques pour les modèles de fondation.
Enfin, un forum consultatif pour les parties prenantes, telles que les représentants de l’industrie, les PME, les startups, la société civile et les universités, sera mis en place pour fournir une expertise technique au Conseil de l’IA.
6/ Sanctions
Les amendes pour violation de la loi sur l’IA ont été fixées en pourcentage du chiffre d’affaires annuel mondial de l’entreprise fautive au cours de l’exercice précédent ou d’un montant prédéterminé, le montant le plus élevé étant retenu. Il s’agirait de 35 millions d’euros ou 7 % pour les violations des applications d’IA interdites, de 15 millions d’euros ou de 3 % pour les violations des obligations de la loi sur l’IA et de 7,5 millions d’euros ou 1,5 % pour la fourniture d’informations erronées. Toutefois, l’accord provisoire prévoit des plafonds plus proportionnés des amendes administratives pour les PME et les startups en cas d’infraction aux dispositions de la loi sur l’IA.
L’accord de compromis précise également qu’une personne physique ou morale peut déposer une plainte auprès de l’autorité de surveillance du marché compétente concernant le non-respect de la loi sur l’IA et peut s’attendre à ce qu’une telle plainte soit traitée conformément aux procédures spécifiques de cette autorité.
7/ Transparence et protection des droits fondamentaux
L’accord provisoire prévoit une évaluation de l’impact sur les droits fondamentaux avant qu’un système d’IA à haut risque ne soit mis sur le marché. L’accord provisoire prévoit également une transparence accrue concernant l’utilisation de systèmes d’IA à haut risque.
Certaines dispositions de la proposition de la Commission ont été modifiées pour indiquer que certains utilisateurs d’un système d’IA à haut risque qui sont des entités publiques seront également tenus de s’enregistrer dans la base de données de l’UE pour les systèmes d’IA à haut risque. En outre, de nouvelles dispositions mettent l’accent sur l’obligation pour les utilisateurs d’un système de reconnaissance des émotions d’informer les personnes physiques lorsqu’elles sont exposées à un tel système.
7/ Mesures de soutien à l’innovation
En vue de créer un cadre juridique plus favorable à l’innovation et de promouvoir un apprentissage réglementaire fondé sur des données probantes, les dispositions relatives aux mesures de soutien à l’innovation ont été substantiellement modifiées par rapport à la proposition de la Commission.
Il ouvre notamment la possibilité d’effectuer le test et la validation de systèmes d’IA innovants dans des conditions réelles. Afin d’alléger la charge administrative pesant sur les petites entreprises, l’accord provisoire comprend une liste d’actions à entreprendre pour soutenir ces opérateurs et prévoit des dérogations limitées et clairement spécifiées.
Le calendrier pour l’entrée en vigueur
L’accord provisoire prévoit que la loi sur l’IA devrait s’appliquer deux ans après son entrée en vigueur, avec quelques exceptions pour des dispositions spécifiques. En attendant, quelques étapes devront être franchies, qui devraient nécessiter plusieurs mois.
Les travaux vont se poursuivre au niveau technique dans les semaines à venir pour finaliser les détails du nouveau règlement. La présidence de l’UE soumettra le texte de compromis à l’approbation des représentants des États membres (Coreper) une fois ces travaux terminés. Puis l’ensemble du texte devra être confirmé par les deux institutions et faire l’objet d’une révision juridico-linguistique avant d’être formellement adopté par les colégislateurs.
A suivre…