Intelligence Artificielle : décryptage du projet de règlement européen

Par Betty Sfez et Valentine Chauveau | 26/05/2021

La Commission européenne a publié, le 21 avril 2021, le premier projet européen de régulation des systèmes d’intelligence artificielle. La Commission a fait le choix d’un outil règlementaire pour légiférer, à l’image du Règlement pour la Protection des Données à caractère Personnel (« RGPD »), manifestant ainsi sa volonté de créer un corpus de règles harmonisées.  Un règlement étant d’application directe, contrairement à une directive, les États membres de l’Union européenne devront intégrer ces règles à leur droit national sans possibilité d’adaptation, ou presque.

Le texte, qui marque l’application de plusieurs principes éthiques au domaine de l’IA (notamment l’absence de biais cognitifs, par exemple discriminatoires, au sein des systèmes d’IA), révèle l’ambition européenne de devenir leader mondial dans le développement d’une IA sûre et digne de confiance.

Qui sont les acteurs concernés par cette régulation ? De quelles technologies parle-t-on concrètement ? Quelles sont les obligations et les sanctions que contient ce texte ? Le Cabinet Solegal décrypte pour vous le projet de règlement.

  1. Les acteurs économiques concernés par cette nouvelle régulation

Seront concernés par le futur règlement l’ensemble des acteurs de la chaîne d’un système d’IA : les fournisseurs, les utilisateurs professionnels (1), les distributeurs (2) et les importateurs (3). L’opérateur sur lequel pèse le plus grand nombre d’obligations est le fournisseur, défini comme la personne physique ou morale qui développe un système d’IA ou qui possède un système d’IA déjà développé en vue de sa mise sur le marché ou de sa mise en service, sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.

Les opérateurs de la chaîne du système d’IA seront concernés par ce règlement, et ce peu importe leur taille, leur secteur (public ou privé) ou encore leur activité.

De même, le cadre juridique s’appliquera à tout type d’acteur rendant disponible un système d’IA sur le marché européen, peu importe sa domiciliation géographique. Dès lors, une entreprise située hors Union européenne mais utilisant un système d’IA pour proposer ses services sur le marché européen devra se mettre en conformité avec les nouvelles règles européennes.

En outre, la Commission européenne a précisé que certains systèmes d’IA devaient également entrer dans le champ d’application du règlement, même lorsqu’ils ne sont pas mis sur le marché, mis en service ou encore utilisés dans l’Union européenne. C’est le cas par exemple d’un opérateur établi dans l’Union européenne qui sous-traite certains services à un opérateur établi en dehors de l’Union européenne pour réaliser une activité par un système d’IA et dont les effets impactent des personnes physiques situées dans l’Union européenne.

Dès lors, chaque système d’IA traitant de données collectées dans l’Union européenne et dont les résultats sont utilisés dans l’Union européenne devra respecter les exigences du règlement.

Néanmoins, la charge des obligations est à nuancer lorsque l’opérateur du système d’IA est une TPE ou une PME, dont les obligations sont allégées par le projet de règlement et dont la taille et la part de marché devront être pris en compte lors du calcul de l’amende administrative en cas d’infraction.

2. Les technologies d’IA impactées par le règlement 

La Commission européenne a retenu le critère du niveau de risque du système d’IA : plus un système d’IA est considéré comme risqué pour les droits et libertés fondamentaux des personnes physiques, plus il sera encadré.

Quatre types de risque ont ainsi été identifiés : les IA à risque inacceptable, les IA à haut risque, les IA à risque limité et les IA à risque minime.

  • Les IA à risque inacceptable

Elles font l’objet d’une interdiction par principe (assortie d’exceptions) ou d’une interdiction pure et simple (ex. pour l’utilisation d’IA à des fins de scoring social, autrement appelé la « notation sociale » ou le « crédit social », tel qu’expérimenté en Chine). Outre le scoring social, il s’agira ici des IA exploitant les vulnérabilités d’un enfant ou de personnes handicapées ou surveillant en temps réel les espaces publics à des fins répressives.

  • Les IA à haut risque

Contrairement aux premières, ces IA sont autorisées sur le marché européen, sous réserve du respect de certaines exigences et d’une évaluation de conformité ex ante (préalablement à leur mise sur le marché). Le texte fournit une première liste d’IA à haut risque susceptible d’évoluer au gré des évolutions technologiques. Il s’agit par exemple des systèmes utilisés visant à/au (i) déterminer l’accès ou l’affectation des étudiants dans les établissements d’enseignements ou (ii) l’évaluation des participants aux tests requis pour leur admission au sein des établissements d’enseignements ou (iii) recrutement de personnes physiques ou encore (iv) évaluer la solvabilité de personnes physiques.

  • Les IA à risque limité

Ces systèmes sont ceux destinés à interagir avec des personnes (ex. les chatbots), ceux reconnaissent les émotions (ex. afin de proposer du contenu approprié à l’utilisateur), ou les systèmes qui génèrent et manipulent des contenus (deep fakes). Pour cette catégorie de systèmes d’IA, seules des obligations de transparence s’imposeront à leur opérateur, afin d’informer les usagers de la présence d’un système d’IA et de sa finalité.

  • Les IA à risque minime

Il s’agit des IA utilisées pour les jeux vidéo ou les filtres anti-spam, par exemple. Aucune obligation n’est imposée aux opérateurs, qui pourront, s’ils le souhaitent, souscrire ou édicter des codes de conduite.

3. Les obligations à retenir

Dès lors que le système d’IA est considéré à haut risque, il devra respecter des exigences spécifiques.

Une supervision humaine obligatoire : pendant toute la période d’utilisation du système d’IA, une supervision humaine doit être effective afin de prévenir ou de réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux, y compris en cas de dérive du système (anomalie, dysfonctionnement ou résultats inattendus). Cette supervision permet notamment à la personne physique d’interrompre le système au moyen d’un bouton « stop ».

De plus, une gestion de la qualité, permettant aux fournisseurs de garantir leur respect du règlement, est exigée. Des procédures internes et de la documentation devront ainsi être éditées afin de prouver la conformité du système d’IA. Il s’agira par exemple des procédures d’évaluation de la conformité, des procédures de gestion des modifications du système d’IA, des procédures de gestion des risques (documentée tout au long du cycle de vie du système d’IA), de la documentation technique tenue à jour, des registres techniques (journalisation permettant d’assurer la traçabilité du système d’IA), etc.

En outre, l’enregistrement du système dans la base de données de l’Union européenne avant toute mise sur le marché européen du système sera obligatoire. Cette base de données publique est gérée par la Commission européenne et contiendra des informations significatives sur les systèmes d’IA et leur évaluation de conformité (ex. description de la finalité du système d’IA et copie de la déclaration de conformité de l’Union européenne). Enfin, un marquage CE devra également être apposé.

Ces obligations pèsent sur le fournisseur d’IA à haut risque. Néanmoins, des obligations de vérification de la conformité du système d’IA s’imposent également aux utilisateurs, distributeurs, importateurs et autres opérateurs de la chaîne de valeur du système d’IA (par exemple, le distributeur devra notamment vérifier que le marquage CE est bien apposé sur le système d’IA à haut risque).

4. Les sanctions encourues par les opérateurs de système d’IA

En cas de mise sur le marché d’un système d’IA à risque inacceptable malgré l’interdiction instaurée par le règlement (article 5 du projet) ou de non-respect de règles liées à la qualité des données l’amende pourra atteindre 30 millions d’euros ou 6% du chiffre d’affaires annuel mondial total de l’entreprise.

Quant aux autres obligations prévues par le règlement, les amendes administratives pourront atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’entreprise.

Enfin, pour les infractions les moins graves au futur règlement (ex. fourniture d’informations incorrectes aux autorités nationales compétentes), le contrevenant pourra être condamné à une amende administrative pouvant aller jusqu’à 10 millions d’euros ou 2% de son chiffre d’affaires annuel mondial total.

Le calendrier d’adoption de ce règlement n’a encore été rendu public par les institutions européennes. Le projet de règlement est encore susceptible d’évoluer, au gré des amendements du texte effectués par le Parlement ou le Conseil européen.

L’équipe IT/DATA/IP du cabinet d’avocats Solegal, dirigée par Maître Betty Sfez, vous tiendra informé de tout changement substantiel apporté au texte et reste à votre disposition pour toute question.

Solegal AARPI – Mai 2021

Betty SFEZ – Avocat associé

Valentine CHAUVEAU – Juriste

Cet article est mis en ligne à des fins d’information uniquement. Compte tenu de l’évolution constante de la réglementation pouvant avoir un impact sur la pertinence de son contenu, nous vous invitons à prendre contact avec le cabinet pour toute question. D’une manière générale, le cabinet ne pourra en aucun cas être tenu responsable de l’inexactitude et de l’obsolescence des articles figurant sur le site www.solegal.fr

A lire également