Langues

Le futur est-il arrivé ? Aperçu du projet de règlement de l'UE sur l'intelligence artificielle

Publications: juillet 23, 2022

Retour à l'aperçu

Auteurs

Portrait Madina Dumanova Madina Dumanova

Guides d'experts connexes

Le 21 avril 2021, la Commission européenne a publié une proposition de règlement sur l'intelligence artificielle (projet de règlement sur l'IA, proposition de règlement)[1], qui s'inscrit dans le cadre de la " stratégie européenne pour les données "[2] et qui vise à établir une norme de référence pour la réglementation de l'IA au sein de l'Union[3].[Alors qu'à l'heure actuelle, la proposition de règlement fait l'objet de débats et de plusieurs milliers de propositions d'amendements, elle devrait être adoptée d'ici l'automne 2022[4] Une fois adopté, le règlement sur l'IA entrera en vigueur vingt jours après sa publication et laissera une période de transition de 24 mois à toutes les organisations qui fournissent ou utilisent des systèmes d'IA au sein de l'UE pour mettre en œuvre les mesures et les obligations respectives.

Cet article donne un aperçu du projet de règlement sur l'IA et de ses implications pour les organisations du monde entier.

Champ d'application

Le projet de règlement sur l'IA aura une portée extraterritoriale semblable à celle du GDPR et s'appliquera aux (art. 2) :

  • aux prestataires qui commercialisent dans l'UE ou mettent en service des systèmes d'IA dans l'UE ;
  • aux utilisateurs de systèmes d'IA dans l'UE ; et
  • aux fournisseurs et aux utilisateurs de systèmes d'IA dont les résultats sont utilisés dans l'UE.

Le projet de règlement sur l'IA définit le terme "fournisseur" comme une personne qui développe ou fait développer un système d'IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque (article 3). Il est à noter que tout distributeur, importateur, utilisateur ou autre tiers sera considéré comme un fournisseur s'il (Art. 28) :

  1. met sur le marché un système d'IA sous son propre nom ou sa propre marque ;
  2. modifie la destination d'un système d'IA existant ; ou
  3. apporte des modifications substantielles au système d'IA.

Le terme "utilisateur" est défini comme une personne utilisant un système d'IA sous son autorité, sauf si le système d'IA est utilisé dans le cadre d'une activité personnelle non professionnelle (article 3).

Le projet de règlement sur l'IA prévoit notamment un cadre réglementaire horizontal[5]: les règlements, lois, normes, standards, etc. existants sur les technologies s'appliquent dans la plupart des cas à des industries spécifiques et n'abordent pas la mise en œuvre de ces technologies par le biais de systèmes matériels et logiciels. Le règlement proposé tentera de réglementer l'IA de manière horizontale et donc indépendamment des cas d'utilisation[6].

Définition de l'IA

Le règlement proposé ne donne pas de définition de l'IA. En revanche, il donne une définition des systèmes d'IA (article 3) :

"On entend par "système d'intelligence artificielle" (système d'IA) un logiciel développé à l'aide d'une ou de plusieurs des techniques et approches énumérées à l'annexe I et capable, pour un ensemble donné d'objectifs définis par l'homme, de générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent.

La liste des techniques et approches figurant à l'annexe I comprend des approches d'apprentissage automatique, des approches logiques et des approches fondées sur la connaissance, ainsi que des approches statistiques.

La définition excessivement large des systèmes d'IA dans le projet de règlement sur l'IA a suscité des critiques de la part de diverses parties prenantes. Bien qu'il reste à voir à quoi ressemblera la version finale du projet de règlement sur l'IA, certains États ont proposé une définition plus étroite de l'intelligence artificielle, assortie de deux exigences supplémentaires : le système doit être capable "d'apprendre, de raisonner ou de modéliser à l'aide des techniques et approches", et il doit également s'agir d'un "système génératif", influençant directement son environnement[7].

Types de systèmes d'IA et exigences de conformité correspondantes

Le projet de règlement sur l'IA classe les systèmes d'IA en quatre catégories : les systèmes d'IA présentant un risque inacceptable, les systèmes d'IA présentant un risque élevé, les systèmes d'IA soumis à des obligations de transparence et les systèmes d'IA présentant un risque minimal.

Systèmes d'IA à risque inacceptable (article 5) : Par exemple, les pratiques d'IA qui contreviennent aux valeurs de l'UE et constituent une menace évidente pour la sécurité, les moyens de subsistance et les droits fondamentaux des personnes sont considérées comme des systèmes à risque inacceptable. Ces systèmes ne sont pas autorisés par le projet de règlement sur l'IA.

Systèmes d'IA à haut risque (article 6) : Les catégories suivantes de systèmes d'IA entrent dans cette catégorie :

  1. Systèmes d'identification biométrique ;
  2. Infrastructures critiques susceptibles de mettre en danger la vie et la santé des citoyens ;
  3. Formation éducative ou professionnelle, qui peut déterminer l'accès à l'éducation et le parcours professionnel d'une personne ;
  4. les composants de sécurité des produits ;
  5. L'emploi, la gestion des travailleurs et l'accès à l'auto-emploi ;
  6. Services privés et publics essentiels ;
  7. l'application de la loi, l'administration de la justice et les processus démocratiques ;
  8. la gestion des migrations, de l'asile et des contrôles aux frontières.

Les fournisseurs de systèmes d'IA à haut risque sont soumis aux obligations substantielles suivantes :

  1. Créer et mettre en œuvre un système adéquat de gestion et d'atténuation des risques (article 9) ;
  2. Gérer avec diligence les données et la gouvernance des données, notamment en formant et en testant les systèmes d'IA à haut risque utilisant des données (article 10) ;
  3. Créer et fournir aux utilisateurs une documentation technique (article 11) ;
  4. Fournir aux autorités des registres détaillés (articles 12 et 20) ;
  5. Fournir aux utilisateurs des informations claires et adéquates (art. 13) ;
  6. Assurer un niveau approprié de surveillance humaine (art. 14) ;
  7. Veiller à l'exactitude, à la robustesse et à la cybersécurité (article 15) ;
  8. Mettre en place un système de gestion de la qualité approprié (article 17) ;
  9. effectuer un suivi post-commercialisation des performances des systèmes d'IA à haut risque (article 61).

Les fournisseurs de systèmes d'IA à haut risque sont également tenus de respecter les obligations procédurales suivantes :

  1. Les fournisseurs doivent veiller à ce que leurs systèmes d'IA à haut risque fassent l'objet d'une "évaluation de la conformité" avant de pouvoir être proposés sur le marché ou mis en service (article 19). La conformité des systèmes d'identification biométrique doit être effectuée par l'"organisme notifié" compétent (annexe VII). Pour tous les autres types de systèmes d'identification biométrique à haut risque, les fournisseurs peuvent procéder à une auto-évaluation (annexe VI) ;
  2. Une fois que le système d'IA à haut risque a fait l'objet d'une évaluation de la conformité, les fournisseurs doivent rédiger la déclaration écrite de conformité (article 48), apposer un marquage CE de conformité sur la documentation du système d'IA à haut risque (article 49) et enregistrer le système d'IA à haut risque dans la base de données de l'UE (article 51) ;
  3. Les fournisseurs doivent signaler à l'autorité compétente, dans un délai de 15 jours, tout "incident grave" ou "dysfonctionnement" du système d'IA à haut risque (article 62).

Contrairement aux fournisseurs, les utilisateurs de systèmes d'IA à haut risque sont soumis à des exigences limitées. Par extension, ils doivent veiller à utiliser les systèmes d'IA à haut risque conformément aux instructions d'utilisation, surveiller le fonctionnement des systèmes d'IA à haut risque et tenir un registre des journaux générés par les systèmes d'IA à haut risque (art. 29).

Systèmes d'IA soumis à des obligations de transparence (article 52) : Les chatbots ou les robots d'usurpation d'identité entrent dans cette catégorie. Les fournisseurs de ces systèmes doivent veiller à ce qu'ils soient conçus et développés de manière à ce que les personnes physiques soient informées qu'elles interagissent avec un système d'IA.

Systèmes d'IA à risque minimal (article 69) : Les jeux vidéo ou les filtres anti-spam basés sur l'IA entrent dans cette catégorie. Ces systèmes d'IA ne sont soumis à aucune exigence de conformité. La grande majorité des systèmes d'IA actuellement utilisés dans l'UE peuvent être définis comme des systèmes d'IA à risque minimal.

Sanctions

La violation des obligations prévues par le projet de règlement sur l'IA donne lieu à des amendes quantifiées en fonction du type de violation (article 71).

Le contrevenant (fournisseur et/ou utilisateur le cas échéant) sera soumis à des amendes administratives pouvant aller jusqu'à 30 000 000 EUR ou, si le contrevenant est une société, jusqu'à 6 % de son chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu, pour les deux types d'infractions suivants :

  • la mise sur le marché, la mise en service ou l'utilisation de pratiques d'IA présentant un risque inacceptable (article 5) ;
  • le non-respect des exigences en matière de gouvernance des données du système d'IA à haut risque (article 10, paragraphe 4).

En cas de non-respect d'autres exigences et obligations que celles mentionnées, le contrevenant est passible d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, si le contrevenant est une entreprise, jusqu'à 4 % de son chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Le projet de règlement sur l'IA prévoit également des sanctions en cas de manquement à l'obligation de fournir des informations correctes, complètes ou exactes aux organismes notifiés et aux autorités nationales compétentes en réponse à une demande. Dans ce cas, les contrevenants sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, si le contrevenant est une société, jusqu'à 2 % de son chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Implications pour les entreprises

Le projet de règlement sur l'IA place la barre très haut en ce qui concerne les obligations de conformité des industries dans le domaine de l'IA dans tous les secteurs économiques. Une enquête mondiale menée par McKinsey montre que de nombreuses organisations sont bien en retard pour répondre aux exigences de conformité potentielles du règlement à venir, puisque seulement 38 % d'entre elles traitent activement les risques de conformité réglementaire dans le domaine de l'IA[8]. À cet égard, les organisations concernées devraient se préparer aux réglementations qui ne manqueront pas de suivre et adopter un programme de conformité stratégique pour leurs systèmes d'IA. Cela nécessitera les compétences et les ressources nécessaires, ce qui renforcera le rôle des professionnels de la conformité. On peut s'attendre à ce que les entreprises élargissent leurs équipes de conformité et embauchent davantage de professionnels ayant cette formation spécifique. Il y aura également un besoin accru de conseillers juridiques externes.

Ressources

  1. Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées en matière d'intelligence artificielle (loi sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union, COM (2021) 206 final du 21 avril 2021- 2021/0106 (COD).
  2. Une stratégie européenne pour les données (Shaping Europe's digital future, 2022) https://digital-strategy.ec.europa.eu/en/policies/strategy-data consulté le 14 juillet 2022.
  3. A European Approach To Artificial Intelligence" (Shaping Europe's digital future, 2022) https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence consulté le 14 juillet 2022.
  4. 'Europe's Artificial Intelligence Debate Heats Up | CEPA' (CEPA, 2022) https://cepa.org/europes-artificial-intelligence-debate-heats-up/ consulté le 14 juillet 2022.
  5. Le projet de règlement sur l'IA (n 1) Exposé des motifs. Para 1.1.
  6. Patrick Glauner, "An Assessment of the AI Regulation Proposed by the European Commission", à paraître dans Sepehr Ehsani, Patrick Glauner, Philipp Plugmann et Florian M. (eds), The Future Circle of Healthcare : AI, 3D Printing, Longevity, Ethics, and Uncertainty Mitigation (Springer 2022) 4.
  7. Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées en matière d'intelligence artificielle (loi sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union, 29 novembre 2021-2021/0106(COD).
  8. The State of AI In 2020" (Global Survey The State of AI in 2020, 2022) https://www.mckinsey.com/business-functions/quantumblack/our-insights/global-survey-the-state-of-ai-in-2020 consulté le 14 juillet 2022.
Retour à l'aperçu