Loi sur l'IA : les dernières retouches de la présidence tchèque avant l'approbation

La présidence tchèque du Conseil de l’UE a partagé avec les autres pays du bloc la version finale de la législation sur l’intelligence artificielle jeudi (3 novembre), une initiative phare de l’UE, qui devrait être approuvée au niveau des ambassadeurs à la mi-novembre.

La loi sur l’IA vise à introduire le premier ensemble complet de règles relatives à l’intelligence artificielle fondées sur le potentiel de nuisance. La présidence tchèque a placé le dossier en tête de son agenda numérique, qui est donc sur la bonne voie pour finaliser la position du Conseil de l’UE.

Le dernier texte n’introduit que des changements mineurs par rapport à la version parue il y a deux semaines. La loi sur l’IA devrait recevoir l’approbation du Comité des représentants permanents le 18 novembre et être définitivement adoptée par les ministres de l’UE lors de la réunion du Conseil Télécom le 6 décembre.

L’IA à usage général

Le texte final confirme la solution de la présidence tchèque d’appliquer le règlement sur l’intelligence artificielle à l’IA à usage général, c’est-à-dire aux grands modèles qui peuvent être adaptés pour exécuter diverses tâches. La plupart des pays de l’UE ont accepté de charger la Commission européenne d’adapter les obligations pour ces systèmes par le biais d’un acte d’exécution.

Le nouveau compromis précise que certaines dispositions ne s’appliqueront aux fournisseurs d’IA à usage général qu’une fois l’acte d’exécution entré en vigueur. Il s’agit des dispositions relatives aux obligations de ces derniers, à la désignation d’un représentant légal dans l’Union, à la déclaration de conformité au droit communautaire et à la surveillance après la mise sur le marché.

L’application de la loi

À la demande des États membres, la présidence tchèque a introduit d’importantes exceptions pour les autorités chargées de faire respecter la loi.

L’une des plus importantes habilite les forces de police à demander à l’autorité nationale compétente de mettre en service un système à haut risque qui n’a pas passé la procédure d’évaluation de la conformité.

Cette autorisation peut être contournée dans des circonstances exceptionnelles telles qu’une menace imminente pour la vie d’une personne.

Toutefois, une nouvelle formulation a été ajoutée dans le cas où l’autorité rejette la demande, obligeant l’organisme chargé de l’application de la loi à se débarrasser de tous les résultats et données obtenus grâce à ce système.

Prestations d’assistance publique

Le préambule du règlement a été modifié pour préciser que le système déterminant la légitimité du droit aux prestations d’assistance publique et aux services du secteur public doit être considéré comme à haut risque.

Cette formulation évoque un immense scandale aux Pays-Bas, où les autorités fiscales ont soupçonné à tort des milliers de citoyens de fraude aux prestations en raison d’un algorithme défectueux.

Le texte a également été aligné sur l’inclusion de certains services d’assurance, comme l’assurance vie et l’assurance maladie, dans la liste des systèmes à haut risque.

Infrastructures critiques

En ce qui concerne les infrastructures critiques, les éléments purement dédiés à la cybersécurité ont été exclus de la classification à haut risque.

Seuls les éléments de sécurité qui « pourraient entraîner directement des risques pour l’intégrité physique des infrastructures critiques et donc des risques pour la santé et la sécurité des personnes et des biens » ont été inclus dans la catégorie à haut risque.

Transparence

La loi sur l’IA exige que des systèmes d’IA spécifiques, tels que les « deep fakes », respectent les obligations de transparence, sauf s’il est raisonnablement évident qu’il s’agit de contenus manipulés.

À cet égard, le nouveau texte précise que les personnes appartenant à un groupe vulnérable en termes d’âge ou de handicap doivent être prises en compte lors du respect de ces dispositions afin d’éviter toute discrimination.