Loi sur l’IA : les États membres adoptent une position commune
Les ministres européens ont donné leur accord à une approche générale du règlement sur l’intelligence artificielle (AI Act) lors de la réunion du Conseil « Télécommunications » mardi (6 décembre).
Les ministres européens ont donné leur accord à une approche générale du règlement sur l’intelligence artificielle (AI Act) lors de la réunion du Conseil « Télécommunications » mardi (6 décembre). EURACTIV propose un aperçu des principaux changements que cela implique.
Le règlement sur l’intelligence artificielle (IA) est une proposition législative visant à réglementer la technologie de l’IA en fonction de son potentiel de nuisance. Le Conseil de l’UE est le premier colégislateur à achever la première étape du processus législatif. Le Parlement européen devrait finaliser sa version aux alentours du mois de mars 2023.
« Le texte de compromis définitif de la présidence tchèque tient compte des principales préoccupations des États membres et préserve l’équilibre délicat entre la protection des droits fondamentaux et la promotion de l’adoption de la technologie de l’IA », a déclaré Ivan Bartoš, vice-premier ministre tchèque chargé du Numérique.
Définition de l’IA
La définition de l’IA a constitué un élément central des discussions, car elle détermine également le champ d’application du règlement.
Les États membres craignaient que les logiciels traditionnels ne soient inclus, et ont donc proposé une définition plus restreinte des systèmes développés par des approches fondées sur l’apprentissage automatique, la logique et la connaissance. Ces éléments pourront ensuite être précisés ou mis à jour par la Commission par le biais d’actes délégués.
IA à usage général
L’IA à usage général comprend des modèles de langage à grande échelle qui peuvent être adaptés pour effectuer diverses tâches. En tant que telle, elle n’entrait pas dans le champ d’application du règlement sur l’IA, qui ne prévoyait que des systèmes basés sur des objectifs.
Les États membres ont toutefois estimé que le fait d’exclure ces systèmes critiques du champ d’application aurait paralysé le règlement sur l’IA, alors que les spécificités de ce marché émergent nécessitaient une certaine adaptation.
La présidence tchèque du Conseil de l’UE a résolu la question en chargeant la Commission de réaliser une analyse d’impact et de procéder à une consultation sur l’adaptation des règles de l’IA à usage général par le biais d’un acte d’exécution dans un délai d’un an et demi à compter de l’entrée en vigueur du règlement.
Pratiques interdites
Le règlement sur l’IA interdit l’utilisation de la technologie pour les techniques subliminales, l’exploitation des vulnérabilités et l’établissement d’une notation sociale (social scoring) similaire à celle utilisée en Chine.
L’interdiction de la notation sociale a été étendue aux acteurs privés afin d’éviter que l’interdiction ne soit contournée par un contractant. Le concept de vulnérabilité a également été élargi aux aspects socio-économiques.
Catégories à haut risque
Dans l’annexe III, le règlement énumère les utilisations de l’IA qui sont considérées comme présentant un risque élevé de causer des dommages aux personnes ou aux biens et qui, par conséquent, doivent se conformer à des obligations légales plus strictes.
La présidence tchèque du Conseil a notamment introduit un niveau, ce qui implique que, pour être classé comme étant à haut risque, le système doit revêtir un caractère décisif dans le processus décisionnel et ne pas être « purement accessoire ». C’est à l’exécutif européen qu’il appartient de définir ce concept par le biais d’un acte d’exécution.
Le Conseil a supprimé de la liste la détection des « deepfakes » par les services répressifs, l’analyse de la criminalité et la vérification de l’authenticité des documents de voyage. Toutefois, les infrastructures numériques critiques et les assurances vie et santé ont quant à elles été ajoutées.
Autre changement important, la Commission pourra non seulement ajouter des cas d’utilisation à haut risque à l’annexe, mais aussi les supprimer sous certaines conditions.
En outre, l’obligation pour les fournisseurs à haut risque de s’enregistrer dans une base de données européenne a été étendue aux utilisateurs des organismes publics, à l’exception des services répressifs.
Obligations relatives aux systèmes à haut risque
Les systèmes à haut risque devront se conformer à des exigences telles que la qualité de l’ensemble des données et une documentation technique détaillée. La présidence tchèque estime que ces dispositions « ont été clarifiées et ajustées de manière à ce qu’elles soient plus faciles à mettre en œuvre sur le plan technique et moins contraignantes pour les parties prenantes ».
L’approche générale vise également à clarifier la répartition des responsabilités le long des chaînes de valeur de l’IA et la manière dont le règlement sur l’IA interagira avec la législation sectorielle existante.
Application de la loi
Les États membres ont introduit dans le texte plusieurs exceptions pour les services répressifs, dont certaines sont destinées à servir de « monnaie d’échange » lors des négociations avec le Parlement européen.
Par exemple, bien que les utilisateurs de systèmes à haut risque devront surveiller les systèmes après leur lancement et informer le fournisseur en cas d’incidents graves, cette obligation ne s’applique pas aux informations sensibles issues des activités des services répressifs.
En revanche, les gouvernements des États membres l’UE semblent moins enclins à accorder des concessions sur l’exclusion des applications d’IA liées à la sécurité nationale, à la défense et à l’armée du cadre du règlement. Ils souhaitent également que les services de police puissent utiliser des systèmes d’identification biométrique à distance « en temps réel » dans des circonstances exceptionnelles.
Gouvernance et application
Le Conseil a renforcé le Conseil de l’IA, qui réunira les autorités nationales compétentes, notamment en introduisant des éléments déjà présents dans le Comité Européen de la Protection des Données (CEPD), tels que le groupe d’experts.
L’approche générale prévoit également que la Commission désigne un ou plusieurs centres d’essai chargés de fournir un soutien technique à la mise en œuvre et d’adopter des orientations sur la manière de se conformer à la législation.
Les sanctions prévues en cas de violation des obligations en matière d’IA ont été allégées pour les PME, tandis qu’une série de critères ont été introduits pour que les autorités nationales puissent en tenir compte dans le calcul de la sanction.
Innovation
Le règlement sur l’IA prévoit la possibilité de créer des bacs à sable réglementaires (regulatory sandboxes), qui sont des environnements contrôlés sous la supervision d’une autorité et dans lesquels les entreprises peuvent mettre à l’essai des solutions d’IA.
Le texte du Conseil permet d’effectuer ces tests dans des conditions réelles, alors que, sous certaines conditions, ces tests dans le monde réel pourraient également avoir lieu sans supervision.
Transparence
Les exigences de transparence pour la reconnaissance des émotions et les « deepfakes » ont également été renforcées.
[Édité par Anne-Sophie Gayet]
