Proposition de règlement européen sur l’intelligence artificielle : l’encadrement est en marche

RGPD UE
Gaëtan DEVILLARD – 13/09/2021 – Article rédigé pour le compte de Jurilab

Animée d’une volonté de créer un écosystème de confiance et de garantir le respect des droits des utilisateurs sur l’ensemble du territoire de l’Union européenne, la Commission européenne a publié le 21 avril 2021 un projet de règlement établissant des règles harmonisées concernant l’intelligence artificielle (IA). L’objectif affirmé est alors d’encadrer cette technologie afin d’en prévenir les risques, une première dans le paysage juridique.

Encadrer l’IA : les origines

La volonté d’encadrer et borner l’intelligence artificielle est le fruit d’une construction méthodique. La France a successivement adopté la loi informatique et liberté en 1978 [1], réformée par la loi n° 2018-493 du 20 juin 2018 protégeant les données personnelles, la loi pour une république numérique en 2016 [2] consacrant l’ouverture des données publiques aux usagers que l’on connaît sous l’expression « d’open data », ainsi que la réforme du 23 mars 2019 [3] qui interdit par exemple en son article 33 le profilage des magistrats à partir de leur nom.

Par ailleurs, afin de garantir la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, a également été adopté le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, plus connu sous le nom de RGPD. Lui-même venait déjà encadrer par son article 22 les processus de prises de décisions automatisées lorsqu’elles produisent des effets juridiques. C’est donc dans une continuité logique que la Commission européenne est venue produire différents textes à l’instar des lignes directrices en matière d’éthique pour une IA digne de confiance dont le rapport était publié le 8 avril 2019 ou encore le livre blanc sur l’excellence et la confiance envers l’intelligence artificielle. Le Parlement européen intervenait quant à lui sur la question en publiant une résolution n° 2020/2021(INL) du 20 octobre 2020 contenant des recommandations à la Commission concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes. Fruit d’une longue réflexion, la Commission européenne publie désormais son projet de règlementation de l’intelligence artificielle.

Une définition (trop) large de l’intelligence artificielle

La proposition de règlement de la Commission européenne est venue définir ce qu’elle a choisi d’appeler « systèmes d’intelligence artificielle » (SIA). Trois définitions de ces systèmes ont été adoptées et intégrées au sein l’annexe I du règlement (article 3 alinéa 1), permettant ainsi de recouvrir les multiples facettes de cette technologie :

  1. Les SIA fonctionnant sur un système d’apprentissage automatique, que l’on retrouve également sous les termes anglo-saxons de machine learning ou deep learning. À l’image d’AlphaGo, l’algorithme ayant appris à maîtriser le célèbre jeu de GO, il s’agit d’algorithmes qui sont entrainés grâce à une confrontation entre différents jeux de données dans le but d’apprendre la décision à adopter ;
  2. Les SIA destinés à la réalisation d’approches statistique, estimations bayesiennes ou de méthodes de recherche et d’optimisation. Il s’agit de SIA entrainés à partir de modèles dans le but de réaliser des prédictions statistiques sur les événements ultérieurs ;
  3. Les SIA dits systèmes experts fondés sur la programmation de déduction logique et de raisonnement. En d’autres termes, il s’agit d’algorithmes ayant été entrainés afin d’être en mesure de partir de faits ou de règles connus pour exposer un raisonnement logique afin de répondre à une question.

Un très large champ d’application

Toujours dans un objectif d’efficacité du règlement et donc de protection des consommateurs présents sur le territoire européen la Commission a envisagé un large champ d’application matériel et territoriale pour son règlement.

Champ d’application territoriale (Article 2)

Le règlement de la Commission s’applique dans trois cas de figure :

  1. Lorsque le fournisseur place sur le marché ou met en service des SIA sur le territoire de l’Union européenne indépendamment de son lieu d’établissement ;
  2. Lorsque l’utilisateur du SIA est situé sur le territoire de l’Union ;
  3. Lorsque le fournisseur ou l’utilisateur sont situés dans un pays tiers mais dont les résultats obtenus grâce à un SIA sont utilisés dans l’Union. Ce champ d’application élargi est comparable à celui du RGPD et permet ainsi une protection optimale des différents utilisateurs européens. Champ d’application matériel (Article 3) Le règlement s’applique à l’ensemble des SIA qui génèrent des résultats influençant les environnements avec lesquelles ils interagissent. Ne sont toutefois pas pris en compte les SIA destinés exclusivement à des fonctions militaires.

 

Champ d’application matériel (Article 3)

Le règlement s’applique à l’ensemble des SIA qui génèrent des résultats influençant les environnements avec lesquelles ils interagissent.

Ne sont toutefois pas pris en compte les SIA destinés exclusivement à des fonctions militaires.

Une approche fondée sur les risques

La Commission européenne a adopté une solution particulière pour l’encadrement des SIA. Ainsi elle ne procède pas à une régulation de la technologie en tant que telle ni à une régulation sectorielle. Elle procède plutôt à une régulation en fonction des cas concrets d’usage qu’elle catégorise en 4 types selon une classification obéissant à une échelle de risques : les risques inacceptables, les hauts risques, les risques moyens et les risques faibles.

Risques inacceptables (Article 5)

Sont prohibés de façon péremptoire les SIA destinés à :

  • La manipulation subliminale causant ou risquant de causer un dommage physique ou psychologique à l’utilisateur ou un tiers ;
  • L’exploitation de vulnérabilités d’un groupe spécifique en raison de l’âge, le handicap physique ou physiologique afin d’affecter les comportements causants ou risquant alors de causer un dommage physique ou psychologique à l’utilisateur ou un tiers ;
  • La notation sociale des individus par les autorités publiques ; L’identification biométrique à distance en temps réel dans les espaces publics à des fins répressives. Trois exceptions sont néanmoins prévues.

 

Hauts risque (Article 6 à 51)

Plusieurs situations et cas d’utilisation sont ainsi considérés comme à hauts risques :

  • Lorsque le SIA est un composant d’un produit régulé ou soumis à une exigence de conformité par l’une des dispositions européennes listées à l’annexe II ;
  • Les SIA utilisés dans l’un des domaines listés à l’annexe III, à savoir :
  • L’identification biométrique ;
  • La gestion d’infrastructures à risques ;
  • L’éducation ; La gestion des ressources humaines ;
  • L’accès à l’usage de services privés essentiels ou de services publics ;
  • La matière répressive ;
  • L’immigration, asile et le contrôle aux frontières ;
  • L’administration de la justice et des processus démocratiques.

Les SIA qualifiés comme à hauts risques sont soumis à une obligation de mise en conformité ex ante pour pouvoir être mis sur le marché. En ce sens ils doivent se conformer aux exigences du chapitre II du présent règlement.

Documenter la gestion des risques (article 9)

Le projet de règlement impose d’établir, de documenter et d’implémenter un système permettant de gérer les risques du SIA. L’objectif de ce système est de permettre un contrôle du système sur l’intégralité de sa durée de vie en mettant au point un processus itératif. Soit un processus qui testera de façon récurrente la fiabilité du SIA.

Prévention des biais des failles (article 10)

Afin de s’assurer qu’aucun biais ou faille dans les bases de données exploitées n’altèrent le résultat du SIA, la mise au point de protocoles de traitement sera nécessaire. L’objectif est de tester la qualité et pertinence des données utilisées et des résultats obtenus.

Documenter le respect des exigences du règlement (article 11)

En cas de contrôle par les autorités compétentes, le fournisseur du SIA devra fournir une documentation permettant d’évaluer sa conformité aux exigences du règlement. Cette documentation contenir au minimum les mentions de l’annexe IV. Pour autant il peut être recommandé de ne pas se limiter à ces seules informations, et ce notamment si le SIA traite de données personnelles ou de données sensibles au sens du RGPD.

Garantir la traçabilité du fonctionnement du SIA (article 12)

Il est nécessaire que soit implémenté au sein du SIA, des fonctionnalités d’enregistrement des événements survenant durant son fonctionnement. Cette fonctionnalité doit ainsi recueillir les informations suivantes : l’enregistrement de la période de chaque utilisation du système (date et heure de début et de fin pour chaque utilisation); la base de données de référence utilisée par le système pour vérifier les données d’entrée; les données d’entrée pour lesquelles la recherche a abouti à une correspondance ; l’identification des personnes physiques participant à la vérification des résultats, visées à l’article 14, paragraphe 5.

Garantir la transparence et la compréhension à l’égard des utilisateurs (article 13)

Le SIA doit pouvoir être compris par les utilisateurs et être transparent sur son fonctionnement et sur les bases de données utilisées. En ce sens le fournisseur doit fournir gratuitement une notice d’utilisation dans un format numérique avec le produit.

Contrôle humain prédominant sur le SIA (article 14)

Lors de la conception du SIA des fonctionnalités de contrôle doivent être ajoutées. En ce sens il est nécessaire de permettre à un opérateur humain de pouvoir corriger, modifier, supprimer ou passer outre les résultats ou recommandations fournis par le SIA.

Robustesse et exactitude du SIA (article 15)

Durant l’ensemble du cycle de vie du SIA celui-ci doit présenter des garanties démontrant sa robustesse, son exactitude et son niveau suffisant en matière de cybersécurité pour garantir cela, le système doit contenir des boucles de rétroaction à même de corriger d’éventuels biais. Cela correspond en pratique à un système pouvant revenir en arrière dans son analyse afin de vérifier la fiabilité du processus ayant été mis en marche et identifier les éventuelles erreurs. De surcroît, il est nécessaire de confectionner le SIA de sorte qu’il puisse résister à des tentatives d’intrusion ou de corruption des données qu’il utilise pour son analyse. Enfin les niveaux d’exactitude du SIA doivent être indiqués clairement au sein de la notice d’utilisation.

Risque moyen et Risque faible

Les SIA présentant des risques moyens ou faibles sont ceux qui ne rentrent pas dans les cas de figure mentionnés pour les SIA à hauts risques ou à risques inacceptables. Ils ne sont ainsi tenus qu’au respect d’une obligation de transparence mentionnée à l’article 52. Néanmoins, la Commission européenne invite par son article 69 à l’adoption d’un code de conduite destiné à favoriser l’application volontaire des exigences des SIA à haut risque pour

Obligations des fournisseurs

Le règlement définit le fournisseur comme « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit » (article 3(2)).

Responsables de la mise sur le marché du SIA à haut risque, les fournisseurs sont soumis à un certain nombre d’obligations.

Obligations générales du fournisseur

Le fournisseur est tenu de s’assurer du respect des obligations relatives aux SIA à haut risque mentionnées au chapitre 2 du règlement (article 16). Il est ainsi tenu notamment d’établir la documentation technique du SIA, veiller à ce que le SIA soit correctement soumis à la procédure d’évaluation de conformité préalable à la mise sur le marché et en cas de contrôle par une autorité compétente apporter les preuves de cette conformité. Il sera également en charge avant la mise sur le marché de procéder à l’enregistrement du système au sein de la base de données de l’UE pour les SIA à haut risque (article 51).

Obligation de gestion de la qualité et de la conformité

Afin de remplir leur obligation de garantie de la qualité des SIA (article 17) les fournisseurs doivent construire une documentation devant comprendre les différents documents mentionnés au sein de l’article 17.

Procédure de mise en conformité

Aucun SIA à haut risque ne peut être mis sur le marché par son fournisseur s’il n’a pas fait l’objet d’une évaluation de sa conformité. Cette obligation permet de garantir aux utilisateurs européens l’accès à des SIA conforme aux exigences européennes strictes.

Sont néanmoins présumés conformes les SIA lorsque ceux-ci sont conformes à des normes européennes harmonisées (article 40). Cependant la Commission peut juger le niveau de sécurité de certaines de ces normes harmonisées insuffisantes nécessitant le recours au processus de certification (article 41).

Le fournisseur doit alors suivre l’une des deux procédures mentionnées à l’article 43.

« (a) la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI ; (b) la procédure d’évaluation de la conformité fondée sur l’évaluation du système de gestion de la qualité et l’évaluation de la documentation technique, avec l’intervention d’un organisme notifié, visée à l’annexe VII. »

En cas de conformité le SIA à haut risque se verra accordé un certificat de conformité à apposer sur le produit. Ces certificats ne sont néanmoins valables que pour une durée spécifique ne pouvant excéder 5 ans (Article 44). Ce certificat devra ainsi être renouvelé au terme de cette durée ou en cas de modification substantielle du SIA (article 43 (4)).

Sanctions

En cas de recours à des SIA à risque inacceptable ou en cas de non-conformité des SIA à haut risque avec l’article 10 ; une amende administrative sera prononcée pouvant aller jusqu’au plus élever des deux seuils 30 000 000 euros ou 6% du chiffre d’affaires annuel mondial.

En cas de manquement à une autre obligation du règlement est prévue une amende administrative pouvant aller jusqu’à 20 000 000 euros ou 4% du chiffre d’affaires annuel mondial.

En cas de fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes ou autorités nationales est prévue une amende administrative allant jusqu’à 10 000 000 euros ou 2% du chiffre d’affaires annuel mondial.

Un lien étroit avec le RGPD

Le présent règlement adopte ainsi un système de mise en conformité ex-ante soit avant toute mise sur le marché du SIA. Nous retrouvons ainsi un mécanisme comparable au RGPD avec l’obligation de maintenir tout au long de la conception et la mise au point du SIA une vigilance sur les différentes exigences imposées par ce règlement et une documentation nécessaire à la démonstration de cette conformité.

Les SIA exploitant des données il faudra être vigilant sur la qualification des données exploitées par la machine. En effet la qualification large de traitement de données entendu par le RGPD inclut le recours à des SIA. Dès lors il sera nécessaire de mentionner ce système sur le registre des traitements, mais également de s’assurer du respect des exigences du RGPD. C’est en effet ce que souligne la CNIL dans son avis sur ce projet de règlement.

Conclusion

Du fait de son caractère contraignant, ce projet de règlement jouera un rôle clé dans l’encadrement des SIA. Il ne représente pour autant pas un point final sur la question.

D’une part ce texte sera amené à évoluer jusqu’à son adoption définitive. Une fois celle-ci faite, la Commission européenne disposera annuellement de la possibilité de modifier les annexes de ce projet, modifiant par conséquent sont champs d’application afin de prendre en compte les progrès techniques.

D’autres part, la réflexion sur les SIA vont se poursuivre. En effet le 19 mai 2021 le Parlement européen a adopté une résolution autour de l’intelligence artificielle dans les domaines de la culture, l’éducation et l’audiovisuel ajoutant ainsi une nouvelle pierre à l’édifice. Enfin l’intelligence artificielle dans le cadre des voitures autonomes sera également amenée à être encadrée de façon très spécifique. À n’en pas douter, ce dernier point fera l’objet de débats tout aussi techniques qu’intenses.

Références


[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[2] LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique
[3] LOI n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour
la justice