Par Stéphane Astier et Marussia Samot
Le projet de Règlement sur l’Intelligence artificielle de la Commission européenne, dénommé « Artificial Intelligence Act », a pour ambition de réguler l’intelligence artificielle d’un point de vue éthique et juridique tout en préservant la compétitivité des entreprises déployant ce type de technologies.
Encore récent, le projet de Règlement concerne tout opérateur économique d’un « système d’IA » dont la définition, particulièrement large mérite d’être rappelée ici : la notion de système d’IA couvre en effet tout logiciel développé selon qu’il soit un système auto-apprenant, logique ou statistique, en capacité de suivre des instructions humaines et de générer des résultats de sortie, que ce soit du simple contenu, des prédictions, des recommandations, ou des décisions influençant les environnements matériels ou immatériels avec lesquels le système interagit.
Ce texte accompagne également un nouveau Plan coordonné sur l’IA stimulant la mise en œuvre de stratégies nationales, ainsi que le remplacement de la Directive « Machine » par un nouveau Règlement sur les machines et équipements intégrant l’IA, dont le projet a été rendu public en avril 2021.
Pourquoi vouloir encadrer l’Intelligence artificielle ?
L’Intelligence artificielle (IA) est encore source d’inconnu, bien qu’elle soit présente dans notre quotidien depuis de nombreuses années. Largement encadrée par le droit dans nombre de ses applications concrètes mais encore trop peu comprise du fait de la multiplicité de ses potentialités, elle jouit d’une double réputation suscitant à la fois fièvre innovative et défiance.
Il est dès lors important d’en appréhender les contours tout en tenant compte des risques associés. Une fois écartée le mythe de l’IA forte une analyse préventive des risques devra effet se concentrer sur les violations qu’une telle technologie peut être amener à générer à l’encontre de nos droits fondamentaux et de la protection de nos données personnelles.
Le déploiement de caméras « intelligentes » telles que les caméras de reconnaissance faciale et caméras thermiques utilisées à des fins de sécurité civile et sanitaire engendrent à ce titre de nombreuses critiques. Tel est également le cas avec les potentiels biais discriminatoires des algorithmes utilisés lors de phases de recrutement en entreprise ou dans l’enseignement sont susceptibles. Citons également la manipulation d’opinions par l’exploitation de données personnelles au cœur de récents scandales ayant défrayés la chronique… De nombreux évènements soulèvent interrogations et critiques dès lorsqu’il s’agit de l’IA ou plus généralement de progrès.
Pour autant, l’IA porte également en elle des perspectives positives de technologies mises au service de l’Homme qui, pour remplir ces objectifs louables appelleront régulation et contrôle.
Le nouveau projet de règlementation de la Commission européenne vise précisément à poser un premier cadre juridique de l’Intelligence artificielle, afin de distinguer les IA « inoffensives » de celles représentant un danger pour les droits et libertés.
L’occasion de revenir sur les premiers grands principes dessinés par ce texte.
Qui sont les personnes concernées par l'Artificial Intelligence Act ?
Le Règlement IA s’applique :
- Aux fournisseurs d’un système d’IA établis au sein de l’Union européenne
- Aux utilisateurs d’un système d’IA établis au sein de l’Union européenne
- Aux fournisseurs et utilisateurs d’un système d’IA établis dans un pays tiers lorsque les données produites par l’IA sont utilisées au sein de l’Union européenne
Plus intéressant encore, le Règlement explique à son considérant 11 que certains systèmes d’IA non commercialisés devraient bénéficier de ce cadre juridique, qu’ils proviennent ou non d’un fournisseur établi au sein de l’Union européenne (UE). Il donne ainsi l’exemple d’un opérateur A situé au sein de l’UE, contractant avec un opérateur B situé en-dehors de l’UE et utilisant un système d’IA à hauts-risques. Ce système d’IA se nourrit de données personnelles provenant de personnes physiques situées sur le territoire d’un Etat membre et impacte en définitive leur vie privée, qu’il ait été ou non commercialisé.
Le texte pose tout de même des exceptions. Ainsi le Règlement ne s’appliquera pas :
- Aux dépends d’une convention internationale conclue avec un Etat tiers ou une organisation internationale
- Aux systèmes d’IA développés ou utilisés exclusivement à des fins militaires.
Les nouveautés posées par le projet de Règlement IA
La Commission européenne a choisi une approche par les risques en jaugeant les systèmes d’IA au cas par cas, afin de les encadrer selon leurs niveaux de dangerosité vis-à-vis des utilisateurs. Des autorités de contrôle et de sanctions devront par la suite être désignées par chaque Etat afin de superviser cette mise en œuvre (nous nous y pencherons dans un prochain épisode).
Cette nouvelle approche de la Commission est couplée par la mise en place de textes d’encadrements juridiques temporaires ou « bacs à sable règlementaires », visant à aider les entreprises à effectuer des phases de test, de développement et de mise en conformité des innovations utilisant l’IA. Ils leur permettront d’être mieux sensibilisées quant à la règlementation applicable et de bénéficier d’un canal de communication leur fournissant des orientations personnalisées.
Ce projet vise plus particulièrement les start-up et PME qui bénéficieront d’un accès prioritaire sous l’encadrement d’autorités nationales compétentes.
Si ces innovations traitent de données à caractère personnel ou relèvent du contrôle d’une autorité compétente étrangère ayant accès à ces données, la CNIL pourra intervenir.
Le projet de Règlement précise tout de même que tout système d’IA risquant de causer un préjudice à des parties tierces du fait d’une expérimentation demeurera soumis à la législation européenne applicable.
Les prochaines étapes de l'Union européenne
Le Parlement et les représentants des Etats membres doivent désormais adopter les propositions de la Commission par procédure législative ordinaire.
Le Règlement devra par la suite être publié au Journal Officiel de l’Union européenne (JOUE) et entrera en vigueur le vingtième (20ème) jour après sa publication.
Des autorités de contrôle nationales compétentes devront être désignées dans les trois (3) mois suivant son entrée en vigueur et des sanctions financières devront être déterminées par les Etats membres dans les douze (12) mois.
Le Règlement ne sera mis en application que vingt-quatre (24) mois après son entrée en vigueur.
En conclusion, si l’Artificial Intelligence Act est adopté cette année, il ne sera pas effectif avant 2023.
Cela nous laisse le temps d’examiner plus en détail les autres principes portés par ce texte ambitieux et fondateur.
***
Fort d’une expérience de plus de 20 ans dans le domaine du droit des nouvelles technologies et de la communication, le cabinet Haas Avocats dispose de départements entièrement dédiés à la protection des données.
Le Cabinet est naturellement à votre entière écoute pour toutes problématiques que vous pourriez rencontrer.
Pour plus d’informations ou toute demande de rendez-vous, contactez-nous ici.