Auteurs : Anneleen Van de Meulebroucke et Ellen Caen (Eubelius)
Dès avril 2021, la Commission européenne a proposition de règlement sur l’intelligence artificielle publiée, désormais connue sous le nom de loi sur l’intelligence artificielle (« AIA »). L’AIA serait la première législation mondiale à établir des règles horizontales pour le développement, la commercialisation et l’utilisation des systèmes d’IA.
Quoi?
La technologie de l’intelligence artificielle (« IA ») joue un rôle central dans la transformation numérique, car elle offre un large éventail d’avantages économiques et sociaux à un grand nombre de secteurs (privés et publics). Par exemple, l’IA permet l’automatisation, la prise de décision intelligente, les prédictions, une meilleure expérience client et une recherche efficace.
L’AIA fait partie d’un ensemble plus large Stratégie européenne en matière d’IA et le Paquet européen sur l’IA, avec lequel l’UE vise à devenir un leader mondial dans le développement d’une IA sûre, fiable et éthique. L’AIA impose des obligations aux différents acteurs impliqués dans le développement, la commercialisation et l’utilisation de systèmes d’IA, en fonction de l’ampleur et de l’intensité du risque posé par le système d’IA.
Des obligations ?
L’AIA adopte une approche basée sur les risques et introduit une classification des différents systèmes d’IA. Différents « niveaux de risque » (risque minime, limité, élevé et inacceptable) sont associés à différentes exigences et obligations.
Par exemple, les systèmes d’IA à haut risque ne peuvent être mis sur le marché de l’UE par les fournisseurs que s’ils satisfont à diverses exigences obligatoires strictes (telles que le fait de suivre une procédure d’évaluation de la conformité, de disposer d’un système de gestion de la qualité et d’une documentation technique). En outre, ces systèmes d’IA à haut risque ne peuvent être utilisés que sous certaines conditions (telles que l’utilisation du système d’IA conformément aux conditions d’utilisation ou la réalisation d’une analyse d’impact sur les droits fondamentaux). Par exemple, un outil de sélection de CV et un système d’évaluation des demandes de crédit basé sur l’IA seront considérés comme des systèmes d’IA à haut risque.
L’AIA interdit les systèmes d’IA qui présentent un risque inacceptable, tels que (i) la notation sociale basée sur l’IA (sous certaines conditions) et (ii) les systèmes biométriques en temps réel pour l’identification à distance dans les lieux publics. Les systèmes d’IA destinés à interagir avec les humains, les systèmes de reconnaissance des émotions et les systèmes de catégorisation biométrique, ainsi que les systèmes d’IA utilisés pour générer ou manipuler des contenus image, audio ou vidéo (par exemple les deep fakes) seront soumis à des règles de transparence harmonisées. En outre, la transparence et d’autres obligations spécifiques s’appliquent également dans le contexte de l’IA générative (par exemple ChatGPT et DALL-E) et des modèles de fondation (par exemple GPT-4). L’AIA prévoit la création d’un nouveau Comité européen pour l’intelligence artificielle (« Comité »), composé, entre autres, de représentants de chaque autorité de contrôle nationale, du Contrôleur européen de la protection des données, de la Commission européenne ENISA et de la FRA. Le comité sera, entre autres, chargé d’émettre des avis, des recommandations et des lignes directrices sur la mise en œuvre de la législation et contribuera à une coopération harmonieuse entre les autorités de contrôle nationales et la Commission. À l’instar des autorités nationales de surveillance en vertu du RGPD, les autorités nationales d’IA supervisent l’application et la mise en œuvre de l’AIA. L’Espagne a déjà une longueur d’avance sur la Belgique et a déjà mis en place une telle autorité de contrôle de l’IA. OMS?
L’AIA a un large champ d’application et s’appliquera à :
les prestataires : développent ou disposent d’un système d’IA développé en vue d’une commercialisation ou d’une mise en service sous leur propre nom ou marque, contre rémunération ou non ; utilisateurs/implémenteurs : utilisent un système d’IA sous leur propre responsabilité, sauf si le système d’IA est utilisé dans le cadre d’une activité personnelle non professionnelle ; et représentants autorisés : ont obtenu l’autorisation écrite d’un fournisseur d’un système d’IA pour respectivement se conformer et mettre en œuvre les obligations et procédures de l’AIA en son nom.
En outre, l’AIA impose également certaines obligations aux importateurs et distributeurs de systèmes d’IA, ainsi qu’aux fabricants de produits.
Tout comme le Règlement Général sur la Protection des Données, l’AIA aura un effet extraterritorial. Un « effet Bruxelles » est donc à prévoir, et semble même se manifester, compte tenu des récentes décret du président Biden et du Déclaration de Bletchley des pays participant au AI Safety Summit au Royaume-Uni en novembre 2023.
Les sanctions?
Le non-respect de la LIA peut entraîner diverses sanctions. Par exemple, une autorité nationale de contrôle peut prendre des mesures correctives (telles que le retrait du système d’IA du marché). En outre, les États membres doivent également imposer des amendes administratives dans les limites fixées par l’AIA (maximum jusqu’à 40 millions d’euros ou 7 % du chiffre d’affaires annuel global). Enfin, les États membres doivent également déterminer et appliquer des sanctions (efficaces, proportionnées et dissuasives).
Quand?
Le 8 décembre 2023, un accord politique a été trouvé sur la proposition de l’AIA lors du cinquième cycle du trilogue entre la Commission européenne, le Conseil et le Parlement européen. La proposition doit encore être officiellement adoptée. Attention, la plupart des dispositions de la LAI n’entreront en vigueur qu’après une période de 24 mois (à l’exception des dispositions en matière de gouvernance par exemple).
Quelle action devriez-vous entreprendre maintenant ?
Compte tenu, entre autres, (i) du nombre d’obligations que l’AIA impose aux entités assujetties, et (ii) des amendes administratives élevées auxquelles les entités s’exposent en cas de non-respect de l’AIA, nous vous recommandons de prendre des mesures immédiates et de déjà agir conformément à la LAI. Par exemple, vous pouvez déjà dresser un inventaire de vos systèmes d’IA avec les analyses de risques associées, élaborer les politiques nécessaires ou mettre en œuvre les exigences de l’AIA dans le (ultérieur) développement de vos systèmes d’IA.
Bron : Eubelius
