Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.
Par Sandra Tubert, avocate associée, et Antoine Tong, avocat, Algo Avocats
Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.
La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.
Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ».
Autrement dit, la plupart des entreprises, au premier rang desquelles les grandes sociétés, ne respectent pas les obligations du RGPD (3) pour protéger la vie privée des personnes dont elles exploitent les données personnelles. Et, en toute impunité puisque les « Cnil » – les Data Protection Authorities (DPA) – en contrôlent très peu. Les sociétés et organisations sont donc en infraction avec ce règlement européen, lequel prévoit trois types sanctions financières en cas de violation des données personnelles :
• Pour les violations des obligations incombant au responsable du traitement et au sous-traitant, des obligations incombant à l’organisme de certification, ou des obligations incombant à l’organisme chargé du suivi des codes de conduite : amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
• Pour les violations aux principes de base d’un traitement, y compris les conditions applicables au consentement, aux droits dont bénéficient les personnes concernées, aux transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale, à toutes les obligations découlant du droit des Etats membres, ou au non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle, ou le fait de ne pas accorder l’accès prévu : amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. « Le non-respect d’une injonction émise par l’autorité de contrôle [une « Cnil » en Europe, ndlr] fait l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », prévoit le RDPD (4).
France : seulement 125 agents habilités
Chaque autorité de contrôle des données personnelles est dotée de pouvoirs, sur son territoire, de contrôler l’application du RGPD et de veiller à son respect, ainsi que de pouvoirs d’enquêtes sur l’application de ce même règlement, « y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique » (5). Parmi ses nombreuses attributions en tant que gendarme des données personnelles, la « Cnil » européenne traite aussi « les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, […] et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ». Mais les autorités de contrôle des données dans l’UE remplissent-elles bien leur mission de contrôles, d’enquêtes voire de sanctions ? Au vu des constatations de Noyb, le doute s’installe sur leurs capacités à faire respecter la loi, en l’occurrence le RGPD. En France, la Cnil ne dispose que de 125 agents habilités « à procéder à des missions de vérification », d’après sa dernière délibération du 7 décembre 2023 publiée au Journal Officiel (6). Contactée par Edition Multimédi@, la Cnil nous indique qu’elle n’a « pas de commentaires à faire concernant le sondage Noyb ».
Le « soft-law » des DPA jugé inefficace
Le fait que 74,4 % des sondés par Noyb se disent d’accord avec l’affirmation selon laquelle « les autorités de protection des données trouveraient sûrement des violations pertinentes du RGPD » (voir tableau ci-dessous) en disent long sur le peu de contrôles et d’enquêtes qui sont menés sur le terrain. Les « Cnil » sont donc appelées à, en substance, faire vraiment leur travail de vérification en se rendant dans les entreprises. Avec ses 125 agents habilités, la Cnil française semble par exemple presque désarmée – en tant que gendarme des données personnelles – face à l’ampleur de la tâche. Sachant que, rien qu’en France d’après le rapport annuel de la Cnil, présenté par sa présidente Marie-Laure Denis (photo ci-contre) en mai 2023, il y a 89.841 délégués à la protection des données (DPO) susceptibles d’être contrôlés. Cela fait par agent assermenté plus de 700 responsables – de traitement des données personnelles et de la protection de la vie privée – à « vérifier »… Résultat, comme le constate Noyb, « les professionnels évoluent encore dans une culture de non-conformité ou de conformité partielle ». Et le président honoraire de Noyb d’enfoncer le clou : « Il est extrêmement alarmant de constater que 74,4 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient en des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s’il s’agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu’il s’agit des données personnelles des utilisateurs » (7). Autre critique à l’égard des « Cnil » et de leur représentation CEPD/EDPB à Bruxelles : les instruments dits de soft-law sont inefficaces, à savoir notamment leurs lignes directrices et recommandations qui n’ont que peu d’influence et sont considérées comme généralistes. D’après l’enquête de Noyb, 70,9 % des personnes interrogées pensent qu’il faudrait des décisions plus claires de la part des gendarmes européens des données personnelles (les vingt-sept DPA) et des tribunaux pour améliorer la conformité. Pour l’écrasante majorité des sondés, il y a « un besoin d’une plus grande implication réellement des DPA pour améliorer la protection de la vie privée des utilisateurs dans la pratique » et il y a encore « beaucoup d’interprétations contradictoires du RGPD ».
Et un avocat néerlandais spécialiste du RGPD de faire remarquer : « Si les Big Tech ne respectent pas le RGPD, pourquoi les petites entreprises se donneraient la peine de se conformer ? ». L’outil d’audit de site web WAT lancé le 29 janvier dernier par le CEPD/EDPB, sous forme de logiciel open source et gratuit (8), devrait permettre aux gendarmes des données et aux éditeurs Internet de vérifier la conformité ou pas de sites web. Reste qu’aujourd’hui le droit à la vie privée et à la protection des données est en grande partie bafoué en Europe, plus de cinq ans après l’entrée en vigueur du RGPD qui devrait en principe faire l’objet d’une révision cette année (9). @
Charles de Laubier
Le groupe La Poste a confirmé en janvier être vendeur de l’opérateur mobile virtuel (MVNO) La Poste Mobile, qu’il détient à 51 % aux côtés des 49 % de SFR (Altice). Xavier Niel a confirmé devant l’Association des journalistes économiques et financiers (Ajef) être candidat. Bientôt la fin des MVNO.
Invité le 29 janvier « Au Petit Riche », restaurant parisien, par l’Association des journalistes économiques et financiers (Ajef), Xavier Niel, président fondateur d’Iliad – maison mère de l’opérateur télécoms Free qu’il a créé il y a 25 ans presque jour pour jour – a confirmé être candidat au rachat des 51 % de La Poste Mobile que détient le groupe public postal (1). « La Poste Mobile, c’est aujourd’hui le leader français des opérateurs mobiles virtuels. Nous avons déjà séduit 2,3 millions de clients en 12 ans d’existence », s’était félicité récemment (2) son PDG depuis près de cinq ans, Julien Tétu (photo), un ancien dirigeant de La Banque Postale.
Les MVNO disparaissent peu à peu
Cependant, étant donné que SFR (filiale télécoms d’Altice) détient les 49 % restants du capital de La Poste Mobile et en est l’opérateur hôte exclusif, ce serait étonnant que Free réussisse à s’emparer du numéro un des MVNO (3) français. Tout dépendra du prix de l’offre de rachat des 51 % de cet acteur télécoms qui dégage un résultat d’exploitation positif. Si La Poste Mobile, créée en 2011 à partir des actifs de Simplicime – lui-même héritier d’un pionnier des MVNO français, Debitel (marque qui a disparu en 2008) –, devait tomber dans l’escarcelle de l’un des quatre opérateurs mobiles que sont Orange, Bouygues Télécom, Free ou encore SFR (lequel détient déjà les 49 % du capital aux côtés du groupe La Poste), cela réduirait de presque moitié la part de marché de ces MVNO justement. Avec ses 2,3 millions d’abonnés, La Poste Mobile représente en effet près de 40 % du total des quelque 6 millions d’abonnés que totalisent – d’après les derniers chiffres de l’Arcep publiés le 9 février (4) – les derniers des MVNO en France.
Dès lors que les 51 % détenus par le groupe public postal seraient cédés à l’un du quadriumvirat, le régulateur français des télécoms ne comptabiliserait plus La Poste Mobile comme MVNO mais intègrerait ses abonnés dans ceux de l’opérateur mobile devenu sa maison mère (majorité de son capital). Quand bien même La Poste Mobile serait toujours proposée dans les 7.000 Bureaux de poste. A ainsi disparu des radars de l’Arcep l’ex-numéro un français des MVNO, Euro-Information Telecom (EIT), que Bouygues Telecom avait racheté fin 2020 au Crédit Mutuel. L’ex-EIT, rebaptisé Bouygues Telecom Business-Distribution (BTBD), totalisait plus de 2 millions d’abonnés sous différentes marques : NRJ Mobile, CIC Mobile, Crédit Mutuel Mobile, Auchan Télécom et Cdiscount Mobile. Progressivement, les clients de l’ex-EIT migrent (sauf résiliations) vers des forfaits sous la marque de Bouygues Telecom qui continue de profiter du réseau des 4.500 agences bancaires du Crédit Mutuel et de sa filiale CIC. L’année d’avant, Bouygues Telecom avait aussi racheté en 2019 un autre MVNO, spécialisé, lui, dans les petites et moyennes entreprises : Keyyo, qui n’est plus MVNO aux yeux de l’Arcep. Depuis le 1er janvier dernier, celui-ci est rebaptisé Bouygues Telecom Entreprises Keyyo (BTEK). Du côté cette fois d’Orange, Nordnet n’est pas non plus comptabilisé comme MVNO, bien qu’il le soit depuis 2018, et pleinement filiale depuis 1998 de l’ancien monopole public des télécoms.
Quant à la filiale télécoms d’Altice, SFR, elle apparaîtrait comme l’acquéreur le plus logique de La Poste Mobile, dont elle possède déjà 49 % du capital et dispose d’un droit de préemption. Oui, mais voilà : le groupe de Patrick Drahi est surendetté et en mauvaise posture. Quoi qu’il en soit, Altice aura son mot à dire sur le futur acquéreur. A moins que SFR ne s’empare finalement de La Poste Mobile pour tenter de mieux la revendre par la suite. La filiale télécoms d’Altice s’est déjà emparée d’un MVNO : Syma Mobile en mai 2022 et ses près de 700.000 clients. Auparavant, en 2021, deux autres MVNO, Coriolis (500.000 clients) et Prixtel (300.000 clients), étaient tombés dans son escarcelle. Altice France avait aussi mis la main sur un autre MVNO arrimé au réseau SFR, Afone (moins de 80.000 clients). Mais son plus gros coup fut en 2014, il y a dix ans, lorsque SFR s’est emparé des 2 millions de clients de Virgin Mobile (Omea Telecom, ex-Omer Télécom) qui fut absorbé, mettant un terme à l’aventure du premier MVNO français en taille de l’époque (5).
Seulement 7,3 % de parts de marché
La disparition des MVNO depuis quelques années n’est pas bon signe pour la concurrence mobile en France et ses tarifs (6). D’une cinquantaine à leur apogée, les MVNO en France se retrouvent une quinzaine aujourd’hui (Transatel/NTT, Lycamobile, Lebara, …) qui ne soient pas contrôlés par un des quatre opérateurs mobiles (7). Résultat, selon les derniers chiffres publiés par l’Arcep le 9 février, les derniers des MVNO – encore La Poste Mobile incluse – totalise avec leurs 6 millions d’abonnés 7,3 % de parts de marché des mobiles au 31 décembre 2023. Une portion congrue, bientôt réduite à peau de chagrin. @
Charles de Laubier
En fait. Alors qu’Apple commence le 2 février la commercialisation de son casque de réalité mixte Vision Pro aux Etats-Unis, la start-up française Lynx Mixed Reality va produire en nombre son casque – de réalité mixte aussi (AR/VR) – à partir du 12 février. Son fondateur nous confirme avoir levé des fonds.
En clair. « Nous allons effectuer la première production en masse de notre casque de réalité mixte Lynx R1, en assemblant dès le 12 février 500 unités ‘’PVT’’ [comprenez Production Validation and Testing, à savoir la dernière phase avant le début de la production en série, ndlr]. Et nous devrions passer à 1.000 unités produites dès le mois d’avril », indique à Edition Multimédi@ Stan Larroque, le PDG fondateur de Lynx Mixed Reality, alias la start-up française SL Process dont il est l’actionnaire principal.
Ce millier de casques produits dès le printemps est possible grâce à une levée de fonds en cours. « J’aurai de très bonnes nouvelles à vous partager en février concernant la société », nous confie-t-il, sans toutefois préciser le montant des fonds levés. Initialement, il avait indiqué le 21 décembre dernier avoir envisagé une « production de masse à 1.000 exemplaires par mois d’ici fin 2023 » mais la start-up basée à Boulogne-Billancourt a dû lever le pied car le financement n’était pas encore à la hauteur. « Cela est dû en grande partie au calendrier de notre collecte de fonds, qui devrait se terminer avec succès entre janvier et février 2024 », avait alors précisé Stan Larroque (1).
Le Lynx R1 est assemblé à Taïwan. Le 12 février correspond au premier jour ouvrable après le Nouvel An chinois qui commence le 10 février et qui correspond à l’année du Dragon, lequel symbolise puissance et prospérité. C’est ce que l’on pourrait souhaiter de meilleur à cette start-up française. Jusqu’alors, elle a passé l’année 2023 dans des phases successives dites DVT (Design Validation Testing). Ces tests de validation de conception ont permis de corriger des défauts et des dysfonctionnements du Lynx R1. Ces prototypes ont été fabriqués à 200 unités début 2023, puis à 300 unités l’été dernier. Et Jean-Michel Jarre a pu tester un Lynx R1 lors de son concert à Versailles le 25 décembre dernier (2), entre la galerie des Glaces et le métavers sur Vroom.
Le Lynx R1 vise d’abord les entreprises et les professionnels. « Nous arrêtons de vendre le modèle “development kit” [à 849 $ ou €, ndlr] ; le prix du Lynx R1 est 1.299 € [ou $] », nous précise Stan Larroque. C’est environ 2,5 fois moins cher (3) que les 3.499 $ du Vision Pro (4) d’Apple, tandis que le Quest Pro de Meta a vu son prix ramené à 999,99 $ aux États-Unis (5) contre 1.199,99 € en Europe. @
L’émergence fulgurante et extraordinaire de l’intelligence artificielle (IA) soulève aussi des préoccupations légitimes. Sur l’AI Act, un accord entre les Etats membres tarde avant un vote des eurodéputés, alors que 2024 va marquer la fin de la mandature de l’actuelle Commission européenne.
Par Arnaud Touati, avocat associé, Nathan Benzacken, avocat, et Célia Moumine, juriste, Hashtag Avocats.
Il y a près de trois ans, le 21 avril 2021, la Commission européenne a proposé un règlement visant à établir des règles harmonisées concernant l’intelligence artificielle (IA). Ce règlement européen, appelé AI Act, a fait l’objet, le 9 décembre 2023 lors des trilogues (1), d’un accord provisoire. Mais des Etats européens, dont la France, ont joué les prolongations dans des réunions techniques (2). La dernière version consolidée (3) de ce texte législatif sur l’IA a été remise le 21 janvier aux Etats membres sans savoir s’ils se mettront d’accord entre eux début février, avant un vote incertain au Parlement européen (4).
Contours de l’IA : éléments et précisions
Cette proposition de cadre harmonisé a pour objectif de : veiller à ce que les systèmes d’IA mis sur le marché dans l’Union européenne (UE) soient sûrs et respectent la législation en matière de droits fondamentaux et les valeurs de l’UE ; garantir la sécurité juridique pour faciliter les investissements et l’innovation dans le domaine de l’IA ; renforcer la gouvernance et l’application effective de la législation en matière de droits fondamentaux et des exigences de sécurité applicables aux systèmes d’IA; et faciliter le développement d’un marché unique pour les applications d’IA, sûres et dignes de confiance et empêcher la fragmentation du marché (5). Pour résumer, cette règlementation vise à interdire certaines pratiques, définir des exigences pour les systèmes d’IA « à haut risque »et des règles de transparence, tout en visant à minimiser les risques de discrimination et à assurer la conformité avec les droits fondamentaux et la législation existante. Il reste encore au futur AI Act à être formellement adopté par le Parlement et le Conseil européens pour entrer en vigueur.
L’accord provisoire prévoit que l’AI Act devrait s’appliquer deux ans après son entrée en vigueur, avec des exceptions pour certaines dispositions. Afin de pouvoir saisir l’ampleur des mesures réglementaires, il faut tout d’abord définir ce qu’est réellement l’IA.
La proposition de texte actuelle, tel qu’amendé par le Parlement européen le 14 juin 2023 en première lecture par 499 voix pour, 28 contre et 93 abstentions (6), contient la définition suivante d’un « système d’intelligence artificielle », à savoir « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations ou des décisions qui influencent les environnements physiques ou virtuels ». Dans cette définition amendée, il n’est plus fait référence à l’annexe I contenant une liste de formes d’IA, annexe I contenue dans la proposition initiale de la Commission européenne. En effet un amendement n°708 a supprimé cette annexe I qui contenait trois types d’IA :
• « (a) Approches d’apprentissage automatique, y compris d’apprentissage supervisé, non supervisé et par renforcement, utilisant une grande variété de méthodes, y compris l’apprentissage profond ». Ces techniques permettent aux systèmes d’IA d’apprendre de l’expérience, de reconnaître des modèles et de prendre des décisions intelligentes.
• « (b) Approches fondées sur la logique et les connaissances, y compris la représentation des connaissances, la programmation inductive (logique), les bases de connaissances, les moteurs d’inférence (7) et de déduction, le raisonnement (symbolique) et les systèmes experts ». Les approches d’intelligence artificielle basées sur la logique et les connaissances organisent des données complexes en structures logiques, permettant un raisonnement précis par des systèmes d’IA.
• « (c) Approches statistiques, estimation bayésienne, méthodes de recherche et d’optimisation ». Ces approches permettant l’analyse et l’interprétation précises de données complexes. Ces techniques sont utiles pour identifier des tendances, faire des prédictions, et résoudre des problèmes complexes dans divers secteurs, comme la finance, la logistique et la recherche scientifique.
Face au potentiel de l’IA d’impacter les droits fondamentaux, l’UE vise à réguler son usage viaun marché de confiance, tout en préservant le dynamisme de l’innovation dans ce secteur. Pour atteindre ces objectifs, l’AI Act énonce des dispositions spécifiques applicables aux acteurs de l’IA. Ces dispositions s’articulent autour de deux axes principaux : la gestion des risques et la responsabilité des acteurs.
Risque, de « limité » à « inacceptable »
Ainsi, cette proposition de règles établit des obligations pour les fournisseurs et les utilisateurs en fonction du niveau de risque lié à l’IA. Concernant la gestion des risques, sont définis des niveaux de risque pour les systèmes d’IA, classés de « limité » à « inacceptable ». Ce classement établit des obligations proportionnées en fonction du niveau de risque associé.
• Risque inacceptable. Les systèmes d’IA à risque inacceptable sont des systèmes considérés comme une menace pour les personnes et seront interdits. Par exemple, la proposition de règlement interdit les pratiques suivantes : les systèmes d’IA destinés à évaluer ou à établir un classement de la fiabilité de personnes en fonction de leur comportement social ou de caractéristiques personnelles et pouvant entraîner un traitement préjudiciable de personnes, dans certains contextes, injustifié ou disproportionné (score social) ; ou la manipulation cognitivo-comportementale de personnes ou de groupes vulnérables spécifiques, par exemple, des jouets activés par la voix qui encouragent à des comportements.
Droits des individus et IA éthique
• Risque élevé. Les systèmes d’IA qui ont un impact négatif sur la santé, la sécurité, les droits fondamentaux ou l’environnement (8) seront considérés comme à haut risque et seront divisés en deux catégories (systèmes d’IA utilisés dans des produits tels que jouets, voitures, etc.) et systèmes d’IA relevant de domaines spécifiques qui devront être enregistrés dans une base de données de l’UE (aide à l’interprétation juridique, la gestion de la migration, de l’asile et du contrôle des frontières, etc.). L’annexe III de la proposition de règlement donne une liste des systèmes d’IA à haut risque. Une analyse d’impact sera obligatoire sur les droits fondamentaux, également applicable au secteur bancaire et des assurances. Les citoyens auront le droit de recevoir des explications sur les décisions basées sur des systèmes d’IA à haut risque ayant une incidence sur leurs droits.
• Risque limité. Les systèmes d’IA à risque limité doivent respecter des exigences de transparence minimales qui permettraient aux utilisateurs de prendre des décisions éclairées. Ainsi, les utilisateurs doivent être informés lorsqu’ils interagissent avec l’IA. Cela inclut les systèmes d’IA qui génèrent ou manipulent du contenu image, audio ou vidéo (comme les deepfakes). Par exemple, l’IA générative, telle que ChatGPT, devrait se conformer aux exigences de transparence : indiquer que le contenu a été généré par l’IA, concevoir le modèle pour l’empêcher de générer du contenu illégal, publier des résumés des données protégées par le droit d’auteur utilisées pour la formation. Les modèles d’IA à usage général à fort impact susceptibles de présenter un risque systémique, tels que le modèle d’IA plus avancé GPT-4, et bientôt GPT-5, devraient faire l’objet d’évaluations approfondies et signaler tout incident grave à la Commission européenne. Les droits individuels, eux, sont au cœur de la régulation sur l’IA. L’AI Act accorde une attention particulière aux droits des individus, qui s’articulent autour de quatre axes, afin de garantir une utilisation éthique et respectueuse de l’intelligence artificielle :
• Le droit à la transparence et à l’information vise à assurer que les individus comprennent comment les systèmes d’IA prennent des décisions les concernant.
• Le droit à la non-discrimination vise à protéger les individus contre les décisions automatisées basées sur des critères discriminatoires tels que la race, le genre, l’origine ethnique, la religion ou d’autres caractéristiques protégées. Les systèmes d’IA ne doivent pas conduire à des discriminations injustes ou à des disparités injustifiées.
• Le droit à la sécurité et à la santé souligne l’importance de protéger les individus contre les risques inhérents aux systèmes d’IA. Les entreprises qui développent, mettent sur le marché ou utilisent des systèmes d’IA doivent garantir que ces technologies n’entraînent pas de préjudices physiques ou psychologiques aux individus.
• La protection des données personnelles et de la vie privée. Dans la continuité du RGPD, les entreprises doivent ainsi garantir la confidentialité des données personnelles traitées par les systèmes d’IA. Cela implique une transparence totale sur les données collectées, les finalités du traitement et les mécanismes permettant aux individus de contrôler l’utilisation de leurs informations personnelles.
Les entreprises devront instaurer et suivre un processus itératif de gestion des risques, mettre en place des procédures de gouvernance des données, et garantir la robustesse, l’exactitude, ainsi que la cybersécurité. Les entreprises pourront compter sur les autorités européennes de standardisation qui élaboreront des normes techniques harmonisées pour faciliter la démonstration de la conformité des systèmes d’IA. Les autorités nationales compétentes auront la possibilité de créer des « bacs à sable réglementaires », offrant ainsi un cadre contrôlé pour évaluer les technologies innovantes sur une période déterminée.
Ces regulatory sandboxes reposent sur un plan d’essai visant à garantir la conformité des systèmes et à faciliter l’accès aux marchés auxquels les PME et les start-ups auront une priorité. Avant même la mise sur le marché des systèmes d’IA, les Etats membres devront désigner des « autorités notifiantes ». Cellesci sont désignées afin de superviser le processus de certification des organismes d’évaluation de la conformité. Ces organismes notifiés auront la tâche de vérifier la conformité des systèmes d’IA à haut risque.
« Cnil » européennes, futures gendarmes de l’IA
Il ne faut pas confondre ces entités avec les autorités nationales de contrôle, qui auront la tâche, après la mise en service des systèmes d’IA, de surveiller l’utilisation des systèmes et de s’assurer qu’ils respectent les normes établies par l’AI Act. En France, la Cnil (9) est pressentie. Le règlement comprend également la création du Comité européen de l’IA. Celui-ci sera composé d’un représentant par Etat membre et son rôle sera de conseiller et d’assister la Commission européenne ainsi que les Etats membres dans la mise en œuvre du règlement. L’AI Act prévoit également des mécanismes rigoureux pour garantir la conformité et sanctionner financièrement (10) d’éventuels manquements. @
