En avril 2021, la Commission européenne a présenté une nouvelle stratégie relative à l’utilisation de l’intelligence artificielle (IA) avec pour objectif d’établir des règles harmonisées au sein de l’Union européenne (UE) conciliant la protection des individus, la sécurité juridique et l’innovation (proposition de règlement).
A ce titre, la Commission vise à instaurer un encadrement juridique en proposant de nouvelles obligations pour certaines catégories d’IA, tout en prévoyant des mesures d’encouragement de l’innovation (espaces de développement, de test et de validation des systèmes d’IA avant la mise sur le marché), ainsi que des mesures de soutien aux petites et moyennes entreprises.
Une définition flexible de l’IA
Dans sa nouvelle proposition, la Commission montre une approche pratique et évolutive à la définition de l’IA. A ce titre, elle a vocation à inclure tous les types des systèmes d’IA (systèmes basés sur l’apprentissage automatique, systèmes hybrides, etc.).
Par ailleurs, cette définition fait référence à une annexe au sein de laquelle figure une liste de techniques et d’approches relatives à l’IA. La flexibilité de ladite définition se matérialise par la possibilité réservée à la Commission d’ajuster et de compléter cette liste ultérieurement au fur et à mesure de l’évolution technologique.
Quel champ d’application ?
La Commission propose que le cadre juridique défini s’applique aux :
- fournisseurs établis dans l’Union ou dans un pays tiers mettant sur le marché européen des systèmes d’intelligence artificielle,
- utilisateurs de systèmes d’IA situés dans l’UE,
- fournisseurs et utilisateurs de systèmes d’IA situés dans un pays tiers, si les résultats produits par lesdits systèmes sont utilisés dans l’UE.
Une approche fondée sur les risques
Au sein de la proposition de règlement, les cas d’usage de l’intelligence artificielle sont classés suivant quatre catégories fondées sur une approche par les risques.
La première catégorie regroupe les cas d’usage considérés comme susceptibles de générer des risques inacceptables. Il s’agit des systèmes d’IA présentant « une menace évidente pour la sécurité, les moyens de subsistance et les droits des personnes ». A noter que l’utilisation en temps réel de systèmes d’identification au moyen de données biométriques dans l’espace public est interdite sauf pour des finalités spécifiques (recherche de victimes de crime, enlèvement d’enfant, menace imminente de décès, etc.).
Les systèmes d’IA dits à haut risque font l’objet d’un recensement en annexe de la proposition de règlement. Sont rattachées à cette catégorie, les techniques d’IA dès lors qu’elles font l’objet d’une utilisation listée dans ladite annexe. Il peut s’agir par exemple de l’utilisation d’une technologie d’IA dans les infrastructures critiques telles que les transports, dans la gestion de l’emploi et du recrutement, ou encore dans le contrôle aux frontières. Pour être mis en œuvre, ces systèmes à haut risque doivent respecter un certain nombre d’exigences (par exemple, évaluation et atténuation préalables des risques, mise en place d’un contrôle humain approprié, transparence vis-à-vis des utilisateurs).
Pour certains systèmes d’IA, l’encadrement juridique pourra se limiter au renforcement des obligations de transparence vis-à-vis des utilisateurs. A titre d’exemple, les utilisateurs d’un chatbot devront être informés qu’ils interagissent avec une IA.
En dernier lieu, s’agissant des systèmes d’IA qui ne relèvent pas des catégories précédemment évoquées, la Commission européenne ne semble pas prévoir de cadre juridique spécifique.
Quelles sont les nouvelles obligations ?
La proposition de règlement prévoit des obligations à la charge des fournisseurs, importateurs, distributeurs et utilisateurs des systèmes d’IA à haut risque.
Par exemple, les fournisseurs devront effectuer une déclaration de conformité et s’assurer que le système d’IA à haut risque fait l’objet d’un marquage CE avant toute mise sur le marché. En cas de modification substantielle, une nouvelle évaluation de conformité devra être réalisée.
Avant la distribution de ces systèmes d’IA, les distributeurs devront s’assurer de leur marquage CE, qu’une documentation et des instructions d’utilisation sont bien fournies. Les distributeurs devront également vérifier que les fournisseurs ou importateurs se sont conformés aux obligations mises à leur charge par le nouveau cadre juridique.
Quant aux utilisateurs, la proposition de règlement prévoit expressément qu’ils sont tenus de suivre les instructions d’utilisation des systèmes d’IA à haut risque qui leur seront communiquées. En outre, ils devront arrêter l’utilisation du système d’IA en cas de tout incident grave et en informer le fournisseur ou le distributeur.
Des sanctions significatives
La proposition de règlement établit le principe de sanctions administratives en cas de violation des dispositions applicables aux systèmes d’IA. En fonction du manquement, ces sanctions pourront aller de 2 %, 4 % ou 6 % du chiffre d’affaires mondial de l’exercice précédent ou 10, 20 ou 30 millions d’euros.
Il appartiendra en revanche à chaque Etat membre de définir selon quelles modalités ces amendes peuvent être prononcées (procédure applicable, autorité compétente, etc.).
Quelles sont les prochaines étapes ?
La proposition de règlement devra désormais faire l’objet de discussions au sein des institutions européennes. A ce stade, il est prévu que le règlement entre en vigueur 24 mois à compter de la date de son adoption définitive.
Mathias Avocats ne manquera pas de vous tenir informé des évolutions en la matière.