Loi sur l'IA : des eurodéputés présentent un nouveau compromis sur les obligations pour les systèmes d'IA à haut risque

Les législateurs à la tête des discussions sur la loi sur l’intelligence artificielle (IA) ont présenté un compromis sur les obligations des systèmes d’IA à haut risque et une consolidation du texte antérieur, selon des documents obtenus par EURACTIV.

Les co-rapporteurs Brando Benifei et Dragoș Tudorache ont fait circuler de nouveaux amendements de compromis la semaine dernière. Ils seront examinés lors d’une réunion technique mardi (30 août). Les principaux eurodéputés en charge du dossier ont jusqu’à présent essayé de progresser sur la partie la moins controversée du texte, afin de faire quelques progrès avant d’aborder les aspects les plus contestés de la proposition.

Cette stratégie semble avoir porté ses fruits, puisque les amendements de compromis précédents ont été maintenus avec seulement des changements mineurs. Parallèlement, les co-rapporteurs ont également commencé à faire le tri dans la partie des obligations auxquelles seront soumis les fournisseurs et les utilisateurs concernant les systèmes à haut risque.

« Nous menons des discussions constructives jusqu’à présent. Cette semaine, nous reprendrons à plein régime », a déclaré un responsable du Parlement européen à EURACTIV.

Obligations à haut risque

Selon le nouveau texte, le système de gestion de la qualité que les fournisseurs d’IA devront mettre en œuvre pour les systèmes à haut risque peut être intégré dans les systèmes existants, créés pour répondre aux règles sectorielles de l’UE telles que le règlement européen relatif aux dispositifs médicaux.

Les articles sur l’obligation d’établir une documentation technique et sur l’évaluation de la conformité ont été supprimés car jugés trop répétitifs par rapport à d’autres articles.

Les eurodéputés estiment les fournisseurs d’IA doivent conserver les registres générés automatiquement par leurs systèmes d’IA pendant au moins six mois, sauf indication contraire de la législation européenne ou nationale. Des périodes plus longues pourraient être justifiées en fonction des normes industrielles ou de l’objectif du système.

Si le fournisseur d’IA pense que l’un de ses systèmes à haut risque n’est pas conforme au règlement, il devra agir sans délai et le retirer du marché et le désactiver.

Par ailleurs, un nouveau libellé a été ajouté indiquant que les fournisseurs doivent immédiatement informer les distributeurs et, le cas échéant, les autres acteurs de la chaîne de valeur de toute non-conformité et de toute action corrective. Ils doivent également informer les autorités nationales de surveillance du marché et l’organisme notifié qui a contrôlé le système de la non-conformité et de toute action entreprise.

Les utilisateurs d’IA à haut risque doivent également être prêts à coopérer avec les autorités nationales, le Conseil européen de l’IA et la Commission européenne pour prouver la conformité de leur système, une mesure jusqu’à présent limitée aux fournisseurs.

En cas de demande motivée de l’exécutif européen ou d’une autorité de surveillance du marché, les fournisseurs ou les utilisateurs devront donner accès aux registres générés automatiquement. Tous ces organismes publics seraient tenus à la confidentialité.

Répartition de la responsabilité

Ces amendements visent globalement à traiter la question de la répartition des responsabilités dans la chaîne d’approvisionnement complexe de l’IA. Il est intéressant de noter que l’amendement sur la coopération avec les autorités met effectivement « en suspens » ceux relatifs à la gouvernance et à l’IA à usage général, ce dernier étant un sujet très controversé.

Les eurodéputés conservateurs ont fait pression pour que des dispositions spécifiques soient intégrées dans l’IA à usage général, c’est-à-dire des systèmes qui peuvent être entraînés pour exécuter différentes tâches. La question est de savoir comment le fournisseur peut, dans ce cas, être tenu pour responsable s’il ne sait même pas à quel usage les systèmes finaux seront destinés.

En outre, le compromis vise à clarifier les responsabilités des importateurs et des distributeurs de systèmes d’IA à haut risque, notamment sur la manière dont ils collaboreront avec les autorités nationales et sur la façon d’atténuer les risques imprévus.

Comme condition préalable à l’entrée sur le marché de l’UE, les fournisseurs d’IA devront désigner un représentant autorisé chargé de s’assurer que la procédure d’évaluation de la conformité a été réalisée et de tenir à la disposition de l’autorité nationale compétente la documentation pertinente, telle que la déclaration de conformité.

Un commentaire figurant en marge du document indique que les sociaux-démocrates continuent de faire pression pour que tous les utilisateurs à haut risque soient enregistrés dans la base de données publique, et pas seulement les autorités publiques.

Procédures administratives

Les eurodéputés sont également revenus sur leur compromis précédent concernant le rôle des organismes notifiés, des sociétés privées chargées de vérifier la conformité des systèmes à haut risque, ainsi que des autorités notifiantes, les autorités nationales qui supervisent les organismes.

Le nouveau texte entend garantir des procédures administratives cohérentes dans l’ensemble du bloc afin de supprimer les obstacles potentiels. Ainsi, la procédure d’évaluation et de contrôle des organismes d’évaluation de la conformité doit être approuvée par toutes les autorités nationales concernées.

Par ailleurs, le nouveau compromis a supprimé le paragraphe sur le « pantouflage » en indiquant qu’il devait faire l’objet d’une discussion plus approfondie. La disposition empêcherait l’employé d’un organisme notifié de travailler avec un fournisseur d’IA pendant un an après que l’organisme ait contrôlé l’un des systèmes du fournisseur.

De plus, suite à la proposition des députés conservateurs, le texte clarifie désormais la procédure permettant aux organismes d’évaluation de la conformité dans les pays tiers d’être accrédités via un système d’évaluation de la conformité ou un accord de reconnaissance mutuelle.

Normes techniques

Dans l’article relatif aux normes harmonisées, le Parti populaire européen (PPE) a obtenu l’ajout d’une référence à l’IA de confiance devant être prise en compte lors du processus de normalisation.

Les articles sur la présomption de conformité et l’évaluation de la conformité seront examinés lors d’une autre réunion technique. La réunion technique suivante, tenue le 2 septembre, permettra en outre de déterminer si le délai de conservation des documents techniques doit être basé sur un calendrier spécifique ou sur l’ensemble du cycle de vie du produit.