Accueil
Politique

La Commission européenne présente un projet de régulation de l’intelligence artificielle

Cédric Mialaret
Politique

La Commission européenne vient de présenter un projet de régulation de l’intelligence artificielle en anglais, qui a pour but de formuler des règles harmonisées sur l’intelligence artificielle et d’amender d’autres régulations de l’Union européenne.

Elle distingue trois classes d’intelligence artificielle : à haut risque ou non, ou interdite.

Système d’intelligence artificielle à bas ou moyen risque

Pour l’intelligence artificielle qui n’est pas à haut risque, la Commission prévoit de favoriser l’établissement de codes de conduite volontaires, adoptant certaines exigences afin de rendre les systèmes d’intelligence artificielle dignes de confiance.

Systèmes d’intelligence artificielle interdits

Inversement, certaines pratiques seraient tout simplement interdites dans l’Union Européenne, telles que:

  • des systèmes d’intelligence artificielle s’appuyant sur des techniques subliminales dans le but de déformer le comportement d’une personne, de telle manière que cela lui cause, ou à autrui des dégâts physiques ou mentaux ;
  • un système d’IA qui exploite les vulnérabilités d’un groupe spécifique de personnes basé sur leur âge ou handicap physique ou mental ;
  • tout système de classification du sérieux d’une personne basé sur son comportement social et ou des caractéristiques personnelles, par des autorités publiques ou affiliées qui pourrait déboucher sur des traitements défavorables ;
  • l’exploitation de systèmes biométriques d’identification à des fins d’ordre public, à distance, comme la reconnaissance faciale, dans des espaces publics hors cas strictement nécessaires.

IA à haut risque

Les autres systèmes d’intelligence artificielle sont jugés à haut risque et doivent se conformer aux régulations, les contrevenants risquant jusqu’à 6 % de leur chiffre d’affaires annuel, même si, en pratique, il est très rare que les amendes les plus sévères soient imposées.

Un système est considéré à haut risque quand les deux conditions suivantes sont satisfaites :

  • Le but du système d’IA est d’être un composant de la sécurité d’un produit, ou est lui-même un produit énuméré dans l’annexe II de la législation ;
  • Ce composant ou produit de sécurité doit obligatoirement être évalué par des tiers pour juger sa conformité, dans le but de le commercialiser, ou d’être mis en service alors qu’il est qualifié dans l’annexe II de la législation.

Les systèmes d’IA à haut risque doivent :

  • Intégrer un système de gestion de risque ;
  • Remplir des conditions relatives à ses données et à sa gouvernance des données, y compris la détection de biais et leur correction ;
  • Une documentation technique doit être disponible et mise à jour ;
  • Ils doivent être conçus pour permettre la journalisation, le contrôle des opérations et pour assurer la traçabilité ;
  • Ses opérations doivent être suffisamment transparentes afin qu’un utilisateur puisse interpréter ses résultats et les exploiter ;
  • Ils doivent être conçus et développés de telle manière que la supervision humaine soit possible ;
  • Ils doivent atteindre, au regard de leur finalité, un niveau approprié de précision, de robustesse et de cybersécurité.

Le projet de régulation décrit ensuite les obligations des fournisseurs et des utilisateurs des systèmes d’IA à haut risque, telles que l’implémentation d’un système de gestion de qualité, l évaluation de la conformité, et le cas échéant, de la prise immédiate de mesures de correction, une journalisation automatique, le devoir d’informer les autorités compétentes des États membres, la coopération avec les autorités compétentes, etc.

Enfin, le projet de loi définit les conditions dans lesquelles les autorités doivent être notifiées.

Les régulateurs pourront même s’inviter dans les entreprises pour analyser leurs algorithmes d’intelligence artificielle à haut risque, comme les systèmes avec des informations biométriques sur les citoyens, et les algorithmes qui peuvent impacter la sécurité d’une personne.

De la même manière que des équipes de la Banque centrale européenne viennent parfois analyser le code source des banques pendant plusieurs jours dans le cadre de groupes de travail ou de rendez-vous.

Critiques

Le projet de loi, avant d’être adopté à la fois par le Conseil de l’Europe et le parlement, sera amendé, corrigé et remanié maintes fois.

Aujourd’hui, les critiques sont classiques : certains s’émeuvent des coûts supplémentaires engendrés par une telle législation, et de la perte de compétitivité que cela entraînerait par rapport à des entreprises chinoises ;

D’autres au contraire, estiment que le texte souffre de trop de vides juridiques qui rendraient la législation trop facile à contourner.

En revanche, peu de personnes contestent la nécessité d’une harmonisation des lois et d’une nécessaire régulation au niveau européen.

Et l’on doit bien constater qu’en matière de régulation sur le numérique, l’Union européenne est un leader : beaucoup de pays s’inspirent largement de son Règlement général sur la protection des données (RGPD), et son projet de taxation des entreprises numériques, après avoir été vilipendé par Trump, est en passe de servir de socle pour une harmonisation mondiale.