Le projet de règlement européen « Régulation harmonisée de l’IA », qui a entamé son parcours législatif, est ambitieux puisque la proposition est assortie d’une application extraterritoriale, à l’instar du RGPD. Très redouté par les GAFAM, ce cadre établie une échelle de risques des « systèmes d’IA ».

Par Laura Ziegler et Rémy Schlich, avocats, Algo Avocats

Faire de l’Union européenne (UE) la première région au monde pour le développement d’une intelligence artificielle de pointe, éthique et sûre, axée sur le facteur humain. Tel est l’objectif poursuivi depuis 2018 par la Commission européenne (1). Celle-ci est passée à la vitesse supérieure en proposant un règlement (2) établissant des règles harmonisées en matière d’intelligence artificielle (IA), afin d’encadrer une technologie stratégique et transversale, jusqu’alors habituée au droit souple.

Amorce d’une régulation de l’IA
En l’absence de cadre légal général spécifique, le développement de l’IA a été favorisé ces dernières années par une régulation souple, volontaire et sectorielle, par le prisme des chartes éthiques et de la soft law, visant à la fois à sensibiliser le marché aux enjeux attachés à son usage et à bâtir la confiance nécessaire à son expansion. Née d’une volonté de promouvoir l’IA en facilitant son développement au sein du marché européen par une approche harmonisée et d’encadrer les risques associés à son utilisation, la proposition présentée par la Commission européenne le 21 avril 2021 opte pour une régulation de l’lA via l’instrument juridique européen le plus contraignant – le règlement – en instaurant un cadre qu’elle veut toutefois souple. Elle tient compte des nombreux travaux conduits en ce sens à l’échelle européenne, notamment par le groupe d’experts désignés par elle (3), le Parlement européen (4) ou encore dans le cadre du Conseil de l’Europe (5). Si plusieurs approches ont été examinées par la Commission européenne (mise en place d’un schéma de labélisation volontaire, approche sectorielle, règles impératives applicables à tous les systèmes d’IA sans distinction), une approche fondée sur l’évaluation des risques emporte ainsi sa préférence. Il s’agit d’instaurer un cadre réglementaire impératif, applicable uniquement aux systèmes d’IA présentant des risques élevés, et de laisser la possibilité aux fournisseurs de systèmes d’IA ne présentant pas de tels risques de s’autoréguler par l’adoption de chartes de conduite. Le projet de règlement « Régulation harmonisée de l’IA », qui vient d’entamer son parcours législatif au sein du Conseil de l’UE et de ses instances préparatoires (6), se veut ambitieux puisque la proposition est assortie d’une application extraterritoriale, à l’instar du RGPD, les opérateurs établis hors de l’UE à l’origine de la mise sur le marché, de la mise en service et de l’utilisation d’un système d’IA dans l’UE se trouvant également exposés à cette nouvelle réglementation. S’affranchissant de la désormais classique opposition IA forte/IA faible et rejoignant ainsi la position du Comité ad hoc sur l’intelligence artificielle (CAHAI (7)) du Conseil de l’Europe (8), la proposition adopte une approche généralisée et « neutre » technologiquement visant les systèmes intégrant des logiciels développés à l’aide d’une ou plusieurs techniques – systèmes auto-apprenants, systèmes logiques et systèmes statistiques (9) – et qui, « pour un ensemble donné d’objectifs définis par l’homme, génèrent des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant des environnements réels ou virtuels » (10). L’approche sectorielle n’est également pas retenue par la Commission européenne qui opère une classification des systèmes d’IA en fonction de leurs finalités et non de la technologie utilisée (11), excluant au passage de son champ d’application les systèmes d’IA développés pour des finalités militaires (12) ou utilisées dans le cadre d’activités non-professionnelles ou ponctuelles (13). Le régime applicable aux systèmes d’IA sera ainsi fonction des risques induits par la finalité poursuivie par ces systèmes et leurs impacts en matière de sécurité, de santé ou encore de respect des droits et libertés fondamentaux des individus. Cette approche par les risques répertorie les utilisations de l’IA selon plusieurs catégories.

De la prohibition à la libre utilisation
L’utilisation de certains systèmes d’IA est désormais prohibée, considérée comme contrevenant par nature aux valeurs de l’UE et notamment aux droits fondamentaux. Sont ainsi interdites par exemple : les pratiques – comme le nudging – présentant un risque potentiel significatif de manipulation des individus par l’usage de techniques subliminales ou exploitant les vulnérabilités de certaines catégories d’individus (enfants, etc.) ; les pratiques susceptibles de leur causer un préjudice physique ou psychologique, celles visant à évaluer, classer ou noter les personnes physiques sur la base de leur comportement social, de caractéristiques personnelles ou prédites et conduisant à un traitement préjudiciable ou défavorable ; celles encore utilisant des techniques d’identification biométrique en temps réel dans des espaces accessibles au public à des fins d’application de la loi – sous réserve de certaines exceptions strictement encadrées (14). En introduisant de telles exceptions, la Commission européenne écarte donc l’idée d’un moratoire sur l’usage de la reconnaissance faciale dans l’espace public, envisagé peu avant la publication de son livre blanc (15) et souhaité par le Contrôleur européen de la protection des données et le Comité européen de la protection des données (EDPB) dans leur récent avis conjoint (16) (*).

Les systèmes d’IA à haut risque
Véritable cœur de la proposition, les « système d’IA à haut risque », c’est-à-dire présentant un risque élevé en matière de santé, de sureté et/ou de respect des droits et libertés fondamentales, sont autorisés sur le marché européen sous réserve de respecter un certain nombre d’exigences réglementaires et de procéder à une évaluation préalable de conformité. Deux catégories principales de systèmes d’IA à haut risque sont identifiées par la Commission européenne : ceux destinés à être utilisés comme composants de sécurité de produits soumis à une évaluation de conformité préalable par un tiers (17), et ceux autonomes ayant principalement des incidences sur les droits fondamentaux (18). Les systèmes d’IA spécifiques, c’est-à-dire présentant des risques spécifiques de manipulation, sont quant à eux uniquement soumis à des obligations de transparence et d’informa-tion (19) : il s’agit de ceux utilisés pour interagir avec des individus (chatbots), détecter des émotions ou établir des catégories sur la base de données biométriques ou encore pour générer ou manipuler des images, du contenu audio ou vidéo (deepfakes). Tous les autres systèmes d’IA ne sont quant à eux soumis à aucun encadrement strict (20).
Quant aux obligations pesant sur les différents acteurs de la chaîne de valeur d’un système d’IA, elles dépendent du rôle de chacun des acteurs. Des obligations spécifiques sont ainsi imposées aux fournisseurs, importateurs, distributeurs, utilisateurs ainsi qu’aux autres tiers. En substance, plus l’acteur est éloigné de la phase de conception du système d’IA, moins ses obligations seront conséquentes. Ainsi, le fournisseur de système d’IA établi dans l’UE (21) qui le développe ou le fait développer sous son nom ou sa marque, est soumis à de plus nombreuses obligations (établir la documentation technique, conserver les logs générés, procéder à l’analyse de conformité avant sa mise sur le marché, notifier et coopérer avec les autorités compétentes). L’importateur, lui, devra s’assurer que le fournisseur a bien réalisé une analyse de conformité et établir une documentation technique, quand l’utilisateur devra, pour sa part, principalement se conformer aux instructions accompagnant le système d’IA. Le nombre de ces obligations, pesant par ailleurs principalement sur les fournisseurs de solutions d’IA (pourtant véritables moteurs de l’innovation), peut interroger, notamment sur la charge que représentera ces coûts de mise en conformité pour ces derniers et ses conséquences sur le marché. La Commission européenne affiche toutefois sa volonté de maintenir les coûts de mise en conformité à un niveau minimum applicables uniquement en fonction des risques encourus. Pour pallier d’éventuels effets négatifs, elle a mis en place des mesures dédiées pour soutenir l’innovation, notamment à l’attention des PME et des start-up. Elle encourage tout d’abord les autorités nationales compétentes à créer des «bac à sable réglementaire» (sandboxes) pour mettre en place, sous leur contrôle, un environnement permettant le développement, le test et la validation de systèmes d’IA innovants pendant une période déterminée avant leur mise sur le marché ou en service – avec l’objectif de les mettre en conformité avec ces exigences réglementaires. De la même manière, elle exige des Etats membres la mise en place d’un certain nombre de mesures visant à encourager les PME et les start-up de systèmes d’IA. Toutefois, le choix de la Commission européenne d’une approche par les risques et non par la technologie concernée implique de « qualifier » un système d’IA en fonction de la finalité de chaque projet concerné. Si dans certains cas la qualification du système d’IA sera toujours la même (d’autant plus lorsqu’il s’agit d’une offre standardisée), certains fournisseurs (22) pourraient en revanche voir leur systèmes d’IA soumis à des qualifications différentes. Un fournisseur pourrait ainsi se trouver soumis à la majorité des obligations prévues dans la proposition en raison des finalités du projet porté par son client, à moins que ce client ne circule le système d’IA sous son nom ou sa marque ou décide de modifier sa finalité ou son fonctionnement de façon substantielle pour éviter une telle qualification (23).
En cas de manquements, les lourdes sanctions encourues peuvent s’élever jusqu’à un maximum de 30 millions d’euros ou 6 % du chiffre d’affaires mondial. En parallèle, les recommandations et lignes directrices en matière d’IA sont de plus en plus nombreuses : l’Unesco examinera prochainement le projet de recomman-dation sur l’éthique de l’IA ; le Conseil de l’Europe a produit de nombreuses lignes directrices, rapports et recomman-dations ; l’EDPB et les autorités nationales ont adopté de nombreux textes venant encadrer l’utilisation de l’IA en général ou pour des technologies spécifiques telles que la reconnaissance faciale, la localisation et le traçage, les véhicules autonomes ou encore les assistants vocaux.

Entrée en vigueur en 2024 ?
Les initiatives sectorielles restent pour l’heure la norme en matière de régulation de l’IA. La phase des négociations entre le Parlement européen, le Conseil de l’UE et la Commission européenne commence à peine sur ce texte législatif qui n’entrera en vigueur que 24 mois après son adoption. Rendezvous en 2024. @