Loi sur l’IA : les eurodéputés proposent une nouvelle série d’amendements de compromis

Une nouvelle série d’amendements de compromis au futur règlement sur l’intelligence artificielle (AI Act) prévoit l’extension de l’interdiction de la notation sociale (social scoring) aux entreprises privées, l’utilisation potentielle des bacs à sable règlementaires pour démontrer la conformité, ainsi que la limitation du rôle du Bureau de l’intelligence artificielle.

Les députés européens se sont réunis le 15 février pour une session de négociation « marathon » sur ce règlement, qui est une proposition législative visant à règlementer l’IA en fonction de son potentiel de risque. Bien qu’aucun accord politique général n’ait été trouvé, les eurodéputés ont fourni de nombreux commentaires.

Ces retours se sont traduits par la révision de presque toutes les séries d’amendements de compromis qui ont été partagées par les co-rapporteurs du Parlement européen, Brando Benifei et Dragoș Tudorache, vendredi dernier (24 février). EURACTIV a pu les consulter.

Pratiques interdites

Le règlement sur l’IA prévoit l’interdiction de certaines utilisations de l’IA présentant un risque trop important. Cette catégorie sensible sur le plan politique comprend la notation sociale, un système de contrôle de la population généralisé utilisé dans certaines régions de la Chine. L’interdiction de la notation sociale a été élargie pour inclure les entités privées.

Des notes en marge du document prévoient que les interdictions de la catégorisation biométrique et des techniques subliminales seront développées dans le préambule du texte. Notamment dans le cas de la manipulation psychologique afin d’en préciser la relation avec la publicité.

Gouvernance et mise en œuvre

Le rôle du Bureau de l’IA, un organe de l’UE destiné à centraliser la mise en œuvre du règlement, a été considérablement réduit, probablement pour répondre aux préoccupations relatives au manque de ressources. L’Office de l’IA apportera son soutien aux instructions conjointes.

Toutefois, dans les cas les plus extrêmes, lorsqu’un système d’IA non conforme engendre des risques importants au niveau national, il appartiendra à la Commission de jouer un rôle essentiel en consultant les autorités concernées et en publiant une décision contraignante en cas de désaccord.

Cependant, si une application d’IA présente un risque grave malgré le respect des règles de l’UE en matière d’IA, c’est le Bureau de l’IA qui jouera ce rôle. Il est probable que cette incohérence soit le fruit de négociations politiques.

Le Bureau de l’IA a été chargé de recueillir des compétences et de partager les meilleures pratiques entre les États membres de l’UE, notamment en créant un vivier européen d’experts. Cette idée est issue du secteur de la protection des données et a déjà été reprise dans le texte du Conseil de l’UE.

Les députés européens proposent également de permettre l’introduction d’actions représentatives en cas de violation de la règlementation sur l’IA.

Bacs à sable règlementaires

Une nouvelle formulation a été ajoutée, imposant aux autorités établissant les bacs à sable règlementaires de conseiller et de superviser les développeurs de systèmes d’IA à haut risque afin qu’ils puissent être considérés comme conformes au règlement sur l’IA au moment de leur mise sur le marché.

Obligations à haut risque

Le test des systèmes d’IA à haut risque doit désormais prendre en compte l’objectif visé et l’utilisation abusive pouvant être raisonnablement envisagée. Les catégories devant faire l’objet d’une attention particulière dans l’évaluation des risques ont été limitées aux groupes vulnérables et aux enfants.

La disposition qui exigeait des développeurs d’IA qu’ils vérifient que les ensembles de données utilisés pour former leur modèle aient été obtenus légalement a été supprimée. Cette disposition aurait affecté les grands modèles linguistiques tels que ChatGPT, qui sont formés en extrayant des volumes considérables de données d’Internet.

Néanmoins, une note en marge du texte indique que le préambule du texte précisera que ces processus de collecte de données doivent être conformes aux règles relatives aux secrets commerciaux, à la propriété intellectuelle et à la protection des données. La référence aux droits de propriété intellectuelle semble destinée à protéger les industries créatives, dont les œuvres d’art peuvent être utilisées pour alimenter l’IA générative.

Les références aux principes de minimisation des données et de protection des données par défaut et dès la conception ont été supprimées des exigences en matière de gouvernance des données. La documentation technique à fournir a été légèrement simplifiée.

En ce qui concerne le contrôle de la qualité, les compromis précisent que les développeurs d’IA ayant déjà mis en place un système de gestion de la qualité conforme aux normes internationales peuvent adapter les systèmes existants aux exigences du règlement sur l’IA.

Champ d’application

Le compromis précise que les modèles d’IA à code source ouvert n’entrent pas dans le champ d’application du règlement, sauf s’ils sont mis sur le marché ou mis en service dans le cadre d’un système plus vaste à haut risque, d’une pratique interdite ou d’un système produisant des contrefaçons profondes.

Évaluation de l’impact sur les droits fondamentaux

La proposition des co-rapporteurs d’introduire une évaluation d’impact sur les droits fondamentaux pour les utilisations de l’IA qui relèvent de domaines considérés à haut risque a été maintenue. Toutefois, les conditions minimales ont été revues légèrement à la baisse et une exception a été ajoutée pour les systèmes de gestion des infrastructures critiques.

Reconnaissance de l’évaluation de la conformité

Les solutions d’IA, en particulier celles qui présentent un niveau de risque important, devront être soumises à une procédure d’évaluation de la conformité. Les députés européens souhaitent que la Commission établisse des accords de reconnaissance mutuelle avec les pays étrangers présentant des niveaux d’évaluation de la conformité comparables.

Composant de sécurité

Les systèmes d’IA qui servent de composants de sécurité pour les produits couverts par la législation européenne, tels que les jouets et les machines industrielles, sont considérés comme présentant un risque élevé de causer des dommages. La définition des composants de sécurité a été modifiée pour la limiter à la prévention des risques pour la santé et la sécurité des personnes.

Normes techniques

Les députés européens en charge du dossier ont demandé à la Commission de publier des spécifications communes concernant les exigences des systèmes à haut risque liés à la protection des droits fondamentaux. Ces spécifications communes seraient abrogées une fois intégrées aux normes techniques pertinentes.

[Édité par Anne-Sophie Gayet]