La posture de la Commission européenne

Vers des règles uniformes encadrant l'utilisation des Systèmes d'IA

Si les Systèmes d’Intelligence Artificielle (SIA) sont porteurs d’opportunités pour la société et l’économie européennes, nous savons déjà qu’ils s’accompagnent aussi de biais et menaces pour les droits des personnes, et plus largement pour la transparence et l’équité.

Autant de défis majeurs auxquels la Commission européenne, présidée par Ursula von der Leyen, s’est attaquée et appelle dès le printemps 2021, à développer  un cadre juridique uniforme réglementant l’utilisation des Systèmes d’IA et les légitimant.

Toute violation à la régulation proposée est passible d’importantes sanctions financières basées sur le chiffre d’affaires.

Garantes d’une sécurité juridique et d’une gouvernance renforcée, les dispositions de la nouvelle réglementation visent à développer la confiance des personnes dans l’Intelligence Artificielle.

L’objectif ? Faciliter le développement d’un marché unique pour les applications d’intelligence artificielle légales et digne de confiance.

Qu'est-ce qu'un Système d'Intelligence Artificielle (SIA) ?

La définition d’un système d’IA s’appuie sur la recommandation 2019 de l’OCDE sur l’Intelligence Artificielle. Il s’agit d’un logiciel informatique qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent, à condition que le logiciel ait été développé à l’aide d’une ou plusieurs des techniques suivantes, listées dans l’annexe I du futur règlement :

  • Si DORA est un règlement européen, NIS 2 est une directive européenne. Appliquer une directive européenne nécessite au préalable, qu’elle soit transposée dans le droit national de chaque pays membre de l’UE.
  • A l’inverse, un règlement européen est applicable tel quel dans tous les États membres dès son entrée en vigueur. C’est un acte législatif contraignant, il doit être mis en œuvre dans son intégralité, sans transposition nationale.

Nous savons d’ores et déjà que cette définition de l’intelligence artificielle est extrêmement large. De nombreuses technologies en effet, peuvent être qualifiées comme telle. Dans la mesure où le monde rentre dans une ère de réinvention technologique permanente, la Commission se donne la latitude même de mettre à disposition une liste fine des Systèmes d’IA interdits.

Vers des développements de Systèmes d'IA plus responsables et sûrs

L’approche de la Commission européenne en matière d’Intelligence Artificielle se fonde avant tout sur une identification et un encadrement des risques de l’IA pour les droits et libertés de l’individu :

  • atteinte à la dignité humaine,
  • non-respect de la vie privée,
  • insuffisance de protection des données à caractère personnel,
  • discrimination,
  • inégalités.

La stratégie de régulation numérique présentée par la Commission repose sur plusieurs piliers essentiels :

  • l’amélioration de la confidentalité,
  • l’amélioration de l’explicabilité,
  • le progrès sur l’équité,
  • le renforcement de la cybersécurité,
  • l’amélioration de la détection des biais,
  • le renforcement de la gouvernance dans les usages.

La vision ici est de construire une IA éthique et de confiance au sein de l’Union Européenne.

Applicabilité territoriale

Le projet de règlement européen prévoit qu’un large éventail d’entreprises de l’UE devront se conformer à au moins certaines obligations en vertu de la loi sur l’IA. Comme pour le Règlement général européen de protection des données (RGPD), la Commission propose que le nouveau cadre juridique défini ait une portée extra-territoriale i.e mondiale.

Concrètement, la nouvelle loi s’applique aux :

 

Parties prenantes cibles

Concrètement, le nouveau règlement s’applique aux entreprises et aux utilisateurs spécifiés comme suit :

 

  • Utilisateurs de systèmes d’IA établis dans l’UE ;
  • Fournisseurs établis dans l’UE ou hors UE distribuant ou mettant sur le marché européen des systèmes d’IA ;
  • Utilisateurs ett Fournisseurs établis hors UE, si les résultats produits par lesdits systèmes sont utilisés dans l'UE.

Une régulation différenciée par le risque

La Commission, dans son nouveau règlement différencie les systèmes d’IA en 4 classes de risque :

  1. les Systèmes d’IA à risque inacceptable,
  2. les Systèmes d’IA à haut risque,
  3. les Systèmes d’IA à risque limité,
  4. puis les Systèmes d’IA à risque minimal (voir Infographie 1).
Infographie 1 : classification des systèmes d'IA proposée par la Commission

Les classes de risque n°3 et 4 peuvent être regroupées en une seul classe.

❌ Système d'IA à risque inacceptable

Cette première classe de risque regroupe les systèmes d’IA interdits, dans le sens où les cas d’usages de ceux-ci violent des droits humains fondamentaux et/ou la sécurité des personnes.

Des exemples de ceux-ci incluent :

  • l’utilisation d’une technologie d’IA dans toute forme de notation sociale des individus ;
  • de toute forme de manipulation préjudiciable aux personnes ;
  • à noter que dans certains contextes, la surveillance à distance “en temps réel” des personnes physiques dans des espaces accessibles au public, peut rentrer dans cette classe de risque.

Liste susceptible de mise à jour par la Commission européenne pour rester en phase avec les progrès technologiques.

🌡️🌡️🌡️ Système d'IA à haut risque

Cette deuxième classe de risque les systèmes d’IA à haut risque.

Des exemples de ceux-ci incluent :

  • l’utilisation d’une technologie d’IA dans l’octroi de crédit et l’évaluation de la solvabilité,
  • la gestion des talents et le recrutement,
  • l’administration de la justice.

Les voitures autonomes, mais aussi l’identification biométrique dans l’espace public, rentrent dans cette classe de risque.

 
L’AI Act dispose que les systèmes d’IA à haut risque sont soumis aux obligations les plus contraignantes.

🌡️ Système d'IA à risque limité

Cette troisième classe de risque se compose essentiellement :

  • des systèmes d’IA dialogueurs (agents conversationnels dits chatbots en anglais),
  • des systèmes de segmentation de la clientèle,
  • des systèmes de reconnaissance des émotions,
  • puis des deepfakes (manipulation de contenus vidéos).

🌡️🌡️ Système d'IA à risque minimal

Cette quatrième classe de risque concerne par exemple :

    • l’utilisation artificielle des filtres anti-spam à des fins de tris dans les emails,
    • toute forme d’utilisation d’une technologie d’IA dans les jeux vidéos et informatiques.

Selon l’AI Act, les systèmes d’IA à risque minimal ne sont soumis à aucune obligation particulière.

Quelles sont les nouvelles exigences pour un 🌡️🌡️🌡️Système d'IA à haut risque ?

:

En vertu de l’AI Act, les organisations qui fournissent ou utilisent un système d’IA à haut risque doivent se conformer à plusieurs obligations contraignantes :

  • Dès la conception
Il appartient aux organisations de mettre en place des mesures de conformité/sécurité telles que :
 
  • déclarer le système d’IA à haut risque dans la base de données européenne ;
  • une gestion des risques du système d’IA à haut risque ;
  • une implémentation des mesures de cybersécurité appropriées ;
  • une gouvernance des données incluant des phases de validation et de tests répondant aux critères de qualité  ;
  • la tenue d’un registre d’activités et une politique de conservation des journaux d’événements automatiquement générés par le système.
Par ailleurs, un système d’IA à haut risque doit faire l’objet d’une évaluation de la conformité par un tiers.
    • Avant la mise en marché
  • transparence et information des utilisateurs : le système d’IA doit être documenté ;
  • fournir une documentation technique (mode d’emploi);
  • vérification de la conformité du système par un tiers et signature d’une déclaration de conformité ;
  • le système d’IA doit porter un marquage CE.
    • Après la commercialisation

Par ailleurs, il convient de mettre en place  :

  • contrôle humain : un système de surveillance et de suivi par des personnes physiques pendant la période d’utilisation ;
  • une remontée d’incidents ou un signalement de tout dysfonctionnement par les utilisateurs ou les fournisseurs.
 
 

Gouvernance

Le projet de règlement européen prévoit que chaque état membre dispose d’une autorité compétente en charge du suivi de la mise en application :

  • une autorité de contrôle,
  • et une autorité de notification.

Au-dessus, il est prévu une instance chapeau dont la mission est de s’assurer d’une exécution harmonisée des textes: le Comité européen d’Intelligence Artificielle.

 

gouvernance systèmes d'intelligence artificielle europe union européenne réglementation alcees esn conseil audit externalisation gestion des risques vie privée
Infographie 2 : instances de gouvernance des systèmes d'IA proposées par la Commission

Un régime de sanctions substancielles pour non-conformité

·       

Pour violation de l’interdiction des systèmes d’IA à risque inacceptable ou violation des dispositions relatives à la gouvernance des données pour les systèmes d’IA à haut risque.

 

·      

Pour violation de l’interdiction des systèmes d’IA à risque inacceptable ou violation des dispositions relatives à la gouvernance des données pour les systèmes d’IA à haut risque.

 

·      

Pour avoir fourni des informations incorrectes, incomplètes ou fausses aux organismes notifiés et aux autorités nationales.

Perspectives : calendrier d'application

La Commission souhaite que la nouvelle législation devienne une loi vers la fin de 2022 et les entreprises devront se conformer aux nouvelles exigences un an et demi à deux ans à compter de la date de son adoption définitive dans l’Union. Les entreprises et les administrations doivent donc s’attendre à une entrée en application de l’AI Act à partir de 2024.

Que pouvons-nous faire pour vous ?

ALCEES ne manquera pas de vous informer des suites de cette actualité. Dans l’attente, veuillez nous contacter si vous souhaitez discuter de tout impact que le projet de nouveau règlement  pourrait avoir sur votre entreprise. ALCEES dispose d’un cadre pour déployer une IA de confiance.

Ce qu’ALCEES peut faire pour vous :

  • vous aider par un inventaire complet de vos systèmes d’IA et leur classification au bon niveau de risque (audit complet) ;
  • vous assister dès la phase de conception jusqu’à la mise en services de vos systèmes d’IA ;
  • vous aider dans la réalisation d’une AIPD de votre système d’IA, puis vous assister et vous conseiller dans la gestion des risques de conformité règlementaire et de cybersécurité susceptibles d’affecter vos projets d’IA.

Auteure

Picture of Carole Njoya

Carole Njoya

cnjoya@alcees.com