En avril 2021, la Commission européenne a publié une proposition de règlement concernant l’intelligence artificielle, désormais connue sous le nom d'Artificial Intelligence Act (« AIA »). L'AIA serait la première législation établissant des règles horizontales pour le développement, la commercialisation et l'utilisation des systèmes d'IA.
Qu'est-ce que c'est ?
La technologie de l'intelligence artificielle (« IA ») joue un rôle central dans la transformation numérique, car elle apporte un large éventail d'avantages économiques et sociétaux à un grand nombre de secteurs (privés et publics). Par exemple, l'IA permet l'automatisation, la prise de décision intelligente, la prévision, une meilleure expérience client et une recherche efficace.
L'AIA s'inscrit dans le cadre plus large de la stratégie européenne en matière d'IA et du AI package, grâce auxquels l'UE entend devenir un leader mondial dans le développement d'une IA sûre, fiable et éthique. L'AIA impose des obligations aux différents acteurs impliqués dans le développement, la commercialisation et l'utilisation des systèmes d'IA, en fonction de l'étendue et de l'intensité du risque posé par le système d'IA.
Obligations?
- L'AIA adopte une approche fondée sur le risque et introduit une classification des différents systèmes d'IA. Différents « niveaux de risque » (risque minimal, limité, élevé et inacceptable) sont associés à différentes exigences et obligations.
Par exemple, les systèmes d'IA à haut risque peuvent être mis sur le marché de l'UE par les fournisseurs uniquement s'ils satisfont à plusieurs exigences strictes et obligatoires (telles qu'une procédure d'évaluation de la conformité, un système de gestion de la qualité et une documentation technique). En outre, ces systèmes d'IA à haut risque ne peuvent être mis en service que sous certaines conditions (telles que l'utilisation du système d'IA conformément aux conditions d'utilisation ou la réalisation d'une évaluation de l'impact sur les droits fondamentaux). Par exemple, un outil de sélection de CV et un système d'évaluation des demandes de crédit basé sur l'IA seront considérés comme des systèmes d'IA à haut risque.
- L'AIA interdit les systèmes d'IA qui présentent un risque inacceptable, y compris, entre autres, (i) la notation sociale basée sur l'IA (sous certaines conditions), et (ii) les systèmes d'identification biométrique à distance en temps réel dans les lieux publics.
- Les systèmes d'IA destinés à interagir avec les humains, les systèmes de reconnaissance des émotions et les systèmes de catégorisation biométrique, ainsi que les systèmes d'IA utilisés pour générer ou manipuler des contenus image, audio ou vidéo (par exemple, les deep fakes) seront soumis à des règles de transparence harmonisées.
- En outre, la transparence et d'autres obligations spécifiques s'appliquent également dans le contexte de l'IA générative (par exemple ChatGPT et DALL-E) et des modèles de fondation (par exemple GPT-4).
- L'AIA prévoit la création d'un nouveau comité européen de l'intelligence artificielle (« comité ») composé, entre autres, de représentants de chaque autorité de contrôle nationale, du contrôleur européen de la protection des données, de la Commission européenne, de l'ENISA, de l'Agence des droits fondamentaux, etc. Le comité aura notamment pour mission d'émettre des avis, des recommandations et des lignes directrices sur la mise en œuvre de la législation et contribuera à assurer une coopération harmonieuse entre les autorités de contrôle nationales et la Commission. À l'instar des autorités nationales de contrôle de l'AVG, les autorités nationales chargées de l'IA contrôleront l'application et la mise en œuvre de l'AIA. L'Espagne a déjà une longueur d'avance sur la Belgique et a déjà mis en place une telle autorité de contrôle de l'IA.
Qui ?
L'AIA a un large champ d'application et s'applique aux :
- Fournisseurs : développer ou posséder un système d'IA mis au point en vue de le commercialiser ou de le mettre en service sous son propre nom ou sa propre marque, que ce soit à titre onéreux ou non;
- Utilisateurs/metteurs en œuvre : ils utilisent un système d'IA sous leur propre responsabilité, sauf si le système d'IA est utilisé dans le cadre d'une activité personnelle non professionnelle; et
- Agents : ils ont obtenu une autorisation écrite d'un fournisseur de système d'IA pour remplir et mettre en œuvre en son nom les obligations et les procédures de l'AIA.
En outre, l'AIA impose également certaines obligations aux importateurs et aux distributeurs de systèmes d'IA, ainsi qu'aux fabricants de produits.
Comme le règlement général sur la protection des données, l'AIA aura un effet extraterritorial. Il faut donc s'attendre à un « effet Bruxelles », qui semble déjà s'installer, compte tenu du récent décret du président Biden et de la déclaration de Bletchley des pays participant au sommet sur la sécurité de l'IA qui a eu lieu au Royaume-Uni en novembre 2023.
Des sanctions ?
Le non-respect de l'accord préalable en connaissance de cause peut entraîner diverses sanctions. Par exemple, une autorité de contrôle nationale peut prendre des mesures correctives (comme le retrait du système d'IA du marché). En outre, les États membres doivent également fixer des amendes administratives dans les limites des seuils prévus par l'accord (jusqu'à 40 millions d'euros ou 7% du chiffre d'affaires annuel mondial). Enfin, les États membres doivent également fixer et appliquer des sanctions (effectives, proportionnées et dissuasives).
Quand ?
Un accord politique sur la proposition d'accord préalable en connaissance de cause a été conclu le 8 décembre 2023 lors du cinquième cycle de trilogue entre la Commission européenne, le Conseil et le Parlement européen. Cependant, la proposition doit encore être formellement adoptée. N'oubliez pas que la plupart des dispositions de l'AIA n'entreront en vigueur qu'après une période de 24 mois (à l'exception, par exemple, des dispositions relatives à la gouvernance).
Quelle est la meilleure action à entreprendre dans l'immédiat ?
Compte tenu, entre autres, (i) du nombre d'obligations imposées par l'AIA aux entités concernées, et (ii) des amendes administratives importantes qui pèsent sur les entités en cas de non-respect de l'AIA, nous vous recommandons de prendre des mesures immédiates afin d'agir déjà conformément à l'AIA. Il s'agit par exemple de dresser un inventaire des systèmes d'IA avec les analyses de risque correspondantes, d'élaborer les politiques nécessaires, de mettre en œuvre dès à présent les exigences de l'AIA lors du développement (ultérieur) de vos systèmes d'IA, etc.
Notre équipe est prête à vous aider grâce à une approche multidisciplinaire. Nous pouvons vous conseiller et vous aider à réaliser les analyses et la documentation nécessaires.