Dans le contexte d’une politique menée par la Commission européenne en faveur de la gouvernance économique et notamment numérique, la Commission avait soumis une proposition de règlement en avril 2021 pour une intelligence artificielle sûre, fiable et éthique. Ce règlement européen entrera en vigueur au début de l’année 2023.
La rédaction de la proposition de règlement atteste d’un certain degré de technicité.
Par ailleurs, il défini les termes de 44 notions quasiment toutes exclusives dès son premier article. Si cela permet de circonscrire certaines notions, la nécessité d’un tel inventaire indique également la mesure qu’a prise la Commission pour tenter de s’emparer de ce sujet et de le réglementer.
Ce règlement concernera principalement les entreprises et autres entités utilisatrices de ces systèmes.
Reste à savoir si l’application de ce seul règlement en l’état suffira à s’emparer des problématiques émergentes de l’utilisation de l’intelligence artificielle.
La proposition règlemente l’utilisation de systèmes d’intelligence artificielle, c’est-à-dire, des logiciels développés au moyen d’une ou plusieurs des techniques et des approches qu’elles soient d’apprentissage automatique, fondées sur la logique et les connaissances ou statistiques(1).
La proposition différencie les systèmes d’intelligence artificielle des « systèmes d’intelligence artificielle à haut risque ».
Ces derniers systèmes sont relatifs aux domaines relevant notamment de l’identification biométrique et de la catégorisation des personnes physiques, de l’administration de la justice, de l’exploitation des infrastructures critiques telles que celles fournissant de l’eau, du gaz ou de l’électricité. Ils appartiennent à cette catégorie dès lors qu’ils présentent un risque d’incidence négative sur les droits fondamentaux, qu’ils sont destinés être utilisés comme composants de sécurité et qu’ils doivent être soumis à une évaluation de conformité par un tiers(2).
La proposition détaille également la mise en œuvre du contrôle de l’utilisation de ces systèmes par les entités propres aux Etats membres.
Une fois entré en vigueur, le règlement s’adressera à différents types d’acteurs : les opérateurs, qui seront à surveiller et les acteurs en charge de la surveillance de ces derniers.
Les opérateurs à surveiller sont les importateurs, les fournisseurs, les distributeurs, le mandataire et les utilisateurs des systèmes d’intelligence artificielle. Ils seront majoritairement des acteurs privés mais il pourra également s’agir d’Etats membres dès lors qu’ils agiront en tant qu’utilisateur.
Les acteurs surveillants visés par la proposition, auront la charge de s’assurer de l’utilisation conforme et du respect des exigences liées à l’utilisation des systèmes d’intelligence artificielle par les opérateurs et les Etats-membres.
La proposition instaure également deux organismes : « l’organisme notifié » et « l’organisme d’évaluation de la conformité ».
Très présents dans les procédures de contrôle dont dispose la proposition, ils seront les entités compétentes pour évaluer, contrôler et certifier de la conformité de l’utilisation par un tiers de système d’intelligence artificielle et en rendre compte aux autorités de contrôle.
Ou plutôt, que ne devront-ils pas faire ? La conformité est au cœur de la proposition, aussi, la proposition dresse une liste importante des comportements illicites que pourraient adopter les opérateurs.
Il pourra par exemple, s’agir de de la mise sur le marché de systèmes qui auraient recours à des techniques subliminales, ou qui soient susceptibles de causer un préjudice physique ou psychologique à l’utilisateur ou à un tiers.
La proposition s’adresse plus particulièrement aux pouvoirs publics lorsqu’elle interdit l’utilisation de systèmes destinés à évaluer ou à établir un classement de la fiabilité de personnes physiques ainsi que l’utilisation de systèmes d’identification biométrique sauf conditions particulières(3).
La liste des comportements interdits liés à l’utilisation de système d’intelligence artificielle à haut risques est plus importante.
De manière générale, la proposition requiert que les risques de ces systèmes soient éliminés, réduits ou à tout le moins contrôlés(4). Les distributeurs et fournisseurs desdits systèmes seront également dans l’obligation d’établir une documentation technique relative à ces systèmes.
Les utilisateurs, au même titre que les fournisseurs devront eux ; veiller à ce que ces systèmes remplissent les conditions de conformité et à ce qu’ils soient évalués, prendre des mesures correctives en cas de non-conformité, mettre en place un système de gestion de la qualité du système.
Ils sont par ailleurs liés aux autorités nationales qu’ils devront informer dès lors que de tels systèmes seront mis en service. Ils seront également contraints d’apposer un marquage spécifique, à savoir « le marquage CE » pour assurer de la conformité des systèmes(5).
Le non-respect de ces exigences pourra conduire à des sanctions importantes.
Le règlement prévoit des sanctions contre les opérateurs mais également contre les institutions de l’Union européenne.
Sans surprise, celles-ci sont importantes, mais restent raisonnables lorsqu’elles devront être à la charge des institutions de l’Union.
Une infraction aux obligations incombant aux utilisateurs et fournisseurs de systèmes d’intelligence artificielle pourra conduire à une amende administrative allant jusqu’à 20 000 000 d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial total pour une entreprise.
Dans le cas où ces opérateurs soumettraient des informations inexactes, partielles ou trompeuses aux organismes ou aux autorités, ils s’exposeront à une amende administrative de 10 000 000 d’euros ou de 2% du chiffre d’affaires pour une entreprise.
En définitive, entreprises utilisatrices de systèmes d’intelligence artificielle, soyez vigilantes !
Les institutions de l’Union risqueront des amendes allant de 250 000 à 500 000 euros suivant les infractions commises(6).
La proposition de règlement dispose également de la création de bacs à sable règlementaires de l’IA au sein du Titre V consacré aux mesures en soutien à l’innovation. Ces bacs à sable seront mis en place pour faciliter le développement, la mise à l’essai et la validation de systèmes d’intelligence artificielle innovants pendant une durée limitée avant leur mise sur le marché ou leur mise en service.
La Commission attend de ces bacs à sable qu’ils puissent notamment permettre le développement de certains systèmes d’intelligence artificielle dans l’intérêt public(7).
Dans la ligne de ce que la Commission avait formulé dans le Digital Services Act(8), aménageant un système favorable pour les petites et moyennes entreprises, une place importante est réservée aux petits fournisseurs et jeunes entreprises qui bénéficieront d’un accès prioritaire aux bacs à sable réglementaires(9).
Par Anne Schmitt et Cynthia Picart
10/06/22
