Loi sur l’IA : les rapporteurs proposent des changements sur la mise en application
Les rapporteurs du Parlement européen ont fait circuler une nouvelle série d’amendements de compromis redéfinissant la structure de mise en application du règlement sur l’IA.
Les rapporteurs du Parlement européen ont fait circuler une nouvelle série d’amendements de compromis redéfinissant la structure de mise en application du règlement sur l’IA.
Vendredi (18 novembre), Dragoș Tudorache et Brando Benifei, les eurodéputés en charge du dossier, ont partagé un nouveau texte de compromis portant sur l’application du règlement sur l’intelligence artificielle (IA).
Le règlement sur l’IA est une législation phare destinée à imposer à l’intelligence artificielle des règles proportionnelles à leur potentiel de nuisance.
Le texte devait initialement être discuté lundi et mardi, mais en raison du court préavis, les discussions techniques ont été reportées à mercredi (23 novembre).
Pouvoirs d’application
Le texte de compromis donne notamment à l’autorité de surveillance nationale le pouvoir d’effectuer des inspections non annoncées sur place et à distance pour les IA à haut risque. Elle pourra également obtenir des échantillons liés aux systèmes à haut risque pour procéder à une rétro-ingénierie et recueillir des preuves permettant d’identifier les cas de non-conformité.
Pour les systèmes d’IA utilisés dans le cadre de la mise en application de la loi, le texte original laissait la possibilité aux autorités de police de procéder elles-mêmes à la supervision. Les eurodéputés estiment pour leur part que seules les autorités de protection des données peuvent assumer ce rôle.
Base de données européenne
Le champ d’application des dispositions établissant une base de données paneuropéenne pour les systèmes à haut risque a été considérablement étendu, passant des systèmes autonomes à tous les systèmes. Cela comprend également l’IA intégrée à d’autres dans un système complexe, comme c’est généralement le cas pour l’IA à usage général.
La base de données a été étendue des fournisseurs d’IA des systèmes à haut risque aux utilisateurs à haut risque que sont les autorités publiques et leurs sous-traitants.
Les co-rapporteurs souhaitent que la base de données soit « simple d’utilisation et accessible, facilement navigable et lisible par une machine, avec des données numériques structurées basées sur un protocole standardisé ».
Surveillance après la mise sur le marché
Le règlement sur l’IA exige des fournisseurs d’algorithmes qui présentent un risque élevé de causer des dommages qu’ils surveillent les performances de leurs systèmes après leur mise sur le marché, dans la mesure où l’IA évolue à mesure qu’elle reçoit de nouvelles données.
Toujours dans le cadre de la surveillance après la mise sur le marché, les fournisseurs d’IA devront envisager « une analyse continue de l’environnement de l’IA, y compris les autres dispositifs, logiciels et autres systèmes d’IA qui interagissent avec le système d’IA », et ce tout en « tenant compte des limites résultant de la protection des données, du droit d’auteur et du droit de la concurrence ».
La Commission devra fournir un modèle de plan de surveillance après la mise sur le marché ainsi que les éléments devant être inclus dans un délai d’un an à compter de l’entrée en vigueur du règlement sur l’IA.
Procédure pour les systèmes dangereux
Les législateurs considèrent qu’un système d’IA est dangereux s’il met en danger les droits des travailleurs, la protection des consommateurs, l’environnement et la sécurité publique.
Dans le cas où les autorités ont des raisons suffisantes de penser qu’un système d’IA exploite la vulnérabilité d’enfants, le compromis les oblige à mener une enquête approfondie et renverse la charge de la preuve sur l’opérateur de l’IA afin que ce dernier soit tenu de démontrer sa conformité au règlement.
En ce qui concerne le retrait des systèmes dangereux du marché, le délai a été fixé à 15 jours ouvrables.
Lorsqu’elle informe d’autres autorités sur un système à risque, l’autorité compétente doit également informer ses pairs sur les acteurs économiques impliqués dans sa chaîne d’approvisionnement.
Si l’opérateur de l’IA ne met pas en œuvre des mesures de correction adéquates, l’autorité nationale peut ordonner le retrait du système du marché. D’autres autorités nationales ou la Commission peuvent s’opposer à cette décision dans un délai de trois mois. Ce délai est ramené à un mois pour les décisions relatives aux pratiques interdites.
Si la décision est contestée, les mêmes délais s’appliquent pour que le Bureau de l’intelligence artificielle (AI Office) prenne une décision contraignante en vue de régler le litige.
Signalement des incidents graves
L’obligation de signaler les incidents graves ou les dysfonctionnements a été étendue aux utilisateurs de systèmes à haut risque. Cette notification devra intervenir au plus tard trois jours après que le fournisseur ou l’utilisateur en a eu connaissance.
De son côté, l’autorité nationale de surveillance devra prendre les mesures appropriées dans les sept jours suivant la notification. Le Bureau de l’IA et les autorités compétentes devraient être informés des incidents susceptibles de se produire dans d’autres États membres.
Chaque année, les autorités nationales devront rendre compte au Bureau de tout incident grave.
Enquêtes conjointes
Un nouvel article introduisant la possibilité d’enquêtes conjointes a été ajouté.
Ces enquêtes conjointes auront lieu dans les cas qui constituent une infraction généralisée ou qui sont susceptibles d’affecter au moins 45 millions de citoyens européens.
La coordination centrale des opérations conjointes sera assurée par le Bureau de l’IA.
Non-conformité
La non-conformité formelle a également été étendue aux cas où la documentation technique n’est pas disponible, où le système d’IA n’a pas été enregistré dans la base de données de l’Union européenne ou encore dans le cas où un représentant autorisé n’a pas été désigné dans l’UE.
Droits des individus
Les co-rapporteurs estiment que tout individu ou groupe affecté par un système d’IA couvert par le règlement sur l’IA devrait avoir le droit de déposer une plainte auprès de l’autorité nationale compétente.
Les plaignants ont également le droit d’être entendus et informés de l’évolution de leur plainte, et une réponse préliminaire doit être fournie dans un délai de trois mois. L’autorité dispose ensuite de six mois pour rendre une décision.
Le texte précise également que les individus disposent d’un droit de recours judiciaire, y compris lorsque les autorités de contrôle manquent à leurs devoirs.
Lanceurs d’alerte
Par ailleurs, les eurodéputés ont étendu le champ d’application de la directive protégeant les personnes qui signalent des violations du droit européen à celles qui signalent des violations du règlement sur l’IA.
Autorités nationales
La nouvelle version du texte prévoit que l’autorité de surveillance désignée par les États membres ne peut être la même que celle qui supervise le travail des organismes d’évaluation de la conformité.
[Édité par Anne-Sophie Gayet]
