Loi sur l'IA : la présidence tchèque de l'UE propose des exigences adaptées pour l'IA à usage général

La République tchèque souhaite que la Commission évalue la meilleure façon d’adapter l’obligation de la loi sur l’intelligence artificielle (IA) pour tous les usages de cette technologie,  selon le dernier texte de compromis consulté par EURACTIV. Les autres aspects abordés sont l’application de la loi, la transparence, l’innovation et la gouvernance.

Le compromis, diffusé vendredi (23 septembre), complète la troisième révision de la loi sur l’IA, une proposition historique visant à réglementer l’intelligence artificielle à l’aide d’une approche basée sur le risque. Le document sera examiné lors d’une réunion du groupe « Télécommunications et société de l’information » le 29 septembre.

Systèmes d’IA à usage général

La façon d’aborder l’IA à usage général a été un sujet largement débattu. Ces systèmes, tels que les grands modèles de langage, peuvent être adaptés pour effectuer diverses tâches. Ainsi, le fournisseur peut ne pas être informé de l’utilisation finale de son système.

La question est de savoir si l’IA à usage général doit respecter l’application du règlement dans le cas où elle peut être utilisée ou intégrée dans des applications à haut risque. Au cours des discussions au Conseil de l’UE, plusieurs pays ont déploré l’absence d’évaluation de ce que l’application directe de ces obligations pourrait impliquer en termes de faisabilité technique et d’évolution du marché.

La présidence tchèque a proposé que la Commission européenne adapte les obligations pertinentes par le biais d’actes d’exécution dans un délai d’un an et demi à compter de l’entrée en vigueur du règlement, en procédant à une consultation publique et à une analyse d’impact sur la meilleure façon de prendre en compte la nature spécifique de ces technologies.

Toutefois, la présidence tchèque de l’UE estime que ces futures obligations pour les systèmes d’IA à usage général ne devraient pas s’appliquer aux PME, tant qu’elles ne sont pas partenaires ou liées à de plus grandes entreprises.

En outre, l’exécutif européen pourrait adopter des actes d’exécution supplémentaires détaillant la manière dont les fournisseurs de systèmes d’IA à usage général à haut risque doivent se conformer à la procédure d’examen.

Dans les cas où les fournisseurs n’envisagent pas d’application à haut risque pour leur système à usage général, ils seraient dispensés des exigences correspondantes. Si les fournisseurs ont connaissance d’une utilisation abusive, le compromis leur impose de prendre des mesures proportionnelles à la gravité des risques associés.

Le compromis réduit le pouvoir discrétionnaire de la Commission d’adopter des spécifications techniques communes pour les systèmes d’IA à haut risque et à usage général.

Application de la loi

Un ensemble de dispositions a été inclus en faveur des autorités de maintien de l’ordre.

Les Tchèques ont proposé d’étendre l’enregistrement dans la base de données publique du fournisseur de systèmes à haut risque à tous les organismes publics utilisant ce type d’IA, à l’exception notable des autorités de maintien de l’ordre, de contrôle des frontières, de migration ou d’asile.

En outre, l’obligation de signaler au fournisseur d’un système à haut risque l’identification d’incidents graves ou de fournir des informations pour la surveillance après mise sur le marché ne s’appliquerait pas aux données opérationnelles sensibles liées aux activités des services répressifs.

Par ailleurs, l’autorité de contrôle du marché ne serait pas tenue de révéler des informations sensibles lorsqu’elle informe ses pairs et la Commission qu’un système à haut risque a été déployé sans évaluation de la conformité via la procédure d’urgence.

L’article imposant la confidentialité à toutes les entités impliquées dans l’application du règlement sur l’IA a été étendu afin de garantir la protection des procédures pénales et administratives et l’intégrité des informations classifiées en vertu du droit communautaire ou national.

En ce qui concerne les tests de nouvelles IA dans des conditions réelles, l’obligation pour le sujet de donner son consentement éclairé a été levée pour les services de maintien de l’ordre, à condition que cela n’ait pas d’effet préjudiciable sur le sujet.

Obligations de transparence

En termes de transparence, si un système d’IA est destiné à interagir avec l’homme, la personne doit être informée qu’il s’agit d’une machine, sauf si cela est évident « du point de vue d’une personne physique raisonnablement bien informée, observatrice et circonspecte ».

Les mêmes obligations s’appliquent aux systèmes d’IA de catégorisation biométrique et de reconnaissance émotionnelle, avec la seule exception dans tous ces cas pour les enquêtes policières. Malgré cela, dans ce cas, le déguisement doit être « soumis à des garanties appropriées pour les droits et libertés des tiers. »

Mesures en faveur de l’innovation

La liste des acteurs de l’écosystème de l’IA impliqués dans les bacs à sable réglementaires (« regulatory sandboxes ») a été élargie pour inclure « les parties prenantes et les organisations de la société civile concernées ».

En ce qui concerne les activités de soutien que les États membres devront mettre en place, Prague prévoit d’inclure l’organisation de formations destinées à l’origine à expliquer l’application du règlement sur l’IA aux PME et aux start-ups, ainsi qu’aux autorités locales.

Gouvernance

Au sein du Comité européen de l’intelligence artificielle, qui réunira toutes les autorités nationales compétentes de l’UE, les Tchèques proposent de créer deux sous-groupes qui constitueraient une plateforme de coopération entre les autorités de surveillance du marché.

Une formulation a été ajoutée qui habiliterait la Commission à réaliser des évaluations de marché liées à l’identification de questions spécifiques qui nécessiteraient une coordination urgente entre les autorités de surveillance du marché.

Sanctions

Prague estime que, lors de la fixation des sanctions, les pays de l’UE doivent tenir compte du principe de proportionnalité pour les utilisateurs non professionnels.

Le compromis précise quelles violations entraîneraient une amende administrative de 20 millions d’euros ou de 4 % du chiffre d’affaires d’une entreprise. Il s’agit notamment des violations des obligations relatives aux fournisseurs, importateurs, distributeurs et utilisateurs de systèmes à haut risque, ainsi que des exigences relatives aux organismes notifiés et aux représentants légaux.

Le pourcentage a été abaissé pour les PME et les start-ups de 3 à 2 % du chiffre d’affaires annuel.