- Le règlement IA établit des règles harmonisées de l’UE pour les systèmes d’IA, avec un champ d’application défini et une liste technique à l’annexe I. Il s’agit d’un instrument de contrôle de l’application des règles de l’UE.
- Certaines pratiques sont interdites (par exemple, influence inconsciente, personnes vulnérables, scoring social) ; la mise sur le marché de tels systèmes est interdite.
- L’IA à haut risque est soumise à des exigences strictes, à des contrôles de conformité, à une surveillance humaine, à des obligations de marché ainsi qu’à une surveillance gouvernementale et à des sanctions élevées.
Projet de règlement
En avril 2021, la Commission européenne avait présenté un projet de règlement établissant des règles harmonisées en matière d’intelligence artificielle (Règlement AI). Le projet est actuellement en discussion au Parlement européen.
Champ d’application
Le règlement réglemente les systèmes d’IA. La présidence slovène a présenté le 29 novembre 2021 un Texte de compromis et y a notamment complété l’objet et le champ d’application et adapté des définitions. La notion de “système d’IA” a notamment été modifiée. Le fait qu’un système fonctionne de manière autonome ou en tant que composant d’un produit n’est pas déterminant. Un système d’IA est désormais défini comme
Un ’système d’intelligence artificielle’ (AI system) est un système qui
(i) reçoit des informations basées sur la machine et/ou l’homme données et entrées,
(ii) explique comment réaliser un ensemble donné d’objectifs définis par l’homme en utilisant l’apprentissage, le raisonnement ou la modélisation mis en œuvre avec les techniques et les approches énumérées dans Annexe I, et
(iii) généré outputs sous la forme de contenus (systèmes d’IA génératifs), de prédictions, de recommandations ou de décisions qui influencent les environnements avec lesquels il interagit ;
L’annexe I contient une Liste des technologies d’IA couvertes:
(a) Apprentissage automatique approches, y compris l’apprentissage supervisé, non supervisé et par renforcement, en utilisant une grande variété de méthodes, y compris l’apprentissage en profondeur ;
(b) Approches basées sur la logique et les connaissancesLes connaissances sur les systèmes d’information, y compris la représentation des connaissances, la programmation inductive (logique), les bases de connaissances, l’inférence et les moteurs de déduction, le raisonnement (symbolique) et les systèmes experts ;
(c) Approches statistiques, estimation bayésienne, méthodes de recherche et d’optimisation.
Dans d’un point de vue spatial le règlement IA s’applique non seulement aux utilisateurs et aux fournisseurs établis dans l’UE, mais aussi à la mise sur le marché de systèmes d’IA ou de produits utilisant un système d’IA dans l’UE, ainsi qu’aux fournisseurs et aux utilisateurs de systèmes d’IA, dans la mesure où les résultats générés par ces systèmes sont utilisés dans l’UE. Les considérants 10 et 11 contiennent des explications supplémentaires à ce sujet.
Pratiques interdites (liste noire)
Le règlement prévoit un Interdiction de certaines utilisations particulièrement risquées ou éthiquement discutables de l’intelligence artificielle (“pratiques interdites”), par exemple leur utilisation
- à une influence qui agit inconsciemment,
- concerne des personnes qui sont particulièrement vulnérables
- peuvent être utilisées pour classer la fiabilité des personnes en fonction de leur appartenance sociale ou de leur comportement dans la société (scoring social).
Dans cette mesure, ce n’est pas seulement l’utilisation de systèmes d’IA qui est interdite, mais déjà la mise sur le marché de systèmes correspondants. Il s’agit d’un autre exemple de la Protection en amont dans le droit des donnéesLa Commission européenne a adopté une position commune sur la question de la protection des données, qui peut être observée ailleurs (par exemple, en ce qui concerne l’obligation d’effectuer des analyses d’impact, le principe de privacy by design et la présomption d’atteinte à la vie privée même en cas de violation négligeable des principes de traitement).
Systèmes à haut risque
Le règlement exige également, sous certaines conditions, une Classification des systèmes d’IA comme systèmes à haut risque (selon l’annexe III de l’ordonnance), ce qui entraîne des exigences particulières pour le système lui-même. Les systèmes sont considérés comme à haut risque en raison de la technologie utilisée et de leur utilisation dans certains secteurs. Les systèmes d’intelligence artificielle sont par exemple considérés comme des systèmes à haut risque dans les domaines d’application suivants :
- l’identification biométrique sans consentement (on peut imaginer ici l’importance que prend l’efficacité du consentement à l’identification biométrique lorsque celle-ci repose sur l’IA) ;
- Composant de sécurité dans la gestion du trafic, l’approvisionnement en énergie, l’infrastructure numérique ou le contrôle des émissions ;
- Contrôle d’accès lors des examens ;
- Examens de candidature ;
- Contrôle de l’accès à certains services ;
- Application de la loi.
Ces systèmes doivent être soumis à des procédures d’évaluation de la conformité avant d’être mis sur le marché dans l’UE. De même, les exigences en matière de documentation et d’information des utilisateurs sont plus élevées et une “supervision humaine” doit être assurée – un autre exemple d’élément humain obligatoire pour les systèmes automatisés, qui rappelle les droits des personnes concernées dans le cas de décisions individuelles automatisées. Tous les membres de la chaîne de valeur – fournisseurs, importateurs, distributeurs et utilisateurs – de systèmes à haut risque ont également des obligations spécifiques, y compris des exigences de surveillance du marché.
Autorités et sanctions
De plus, des autorités sont créées :
- États membres doivent établir des autorités nationales compétentes ou désigner des autorités existantes ;
- un Comité européen sur l’intelligence artificielle qui conseille la Commission européenne.
La conformité est assurée par Sanctions, qui peuvent aller, dans les cas extrêmes, jusqu’à 6% du chiffre d’affaires ou 30 millions d’euros.