Proposition de réglementation de l’I.A : le Parlement européen renforce la protection des individus
Par Céline Castets-Renard – Professeure à l’Université d’Ottawa – Titulaire de la chaire Intelligence artificielle responsable à l’échelle mondiale et Blanche Daban – Assistante de recherche de la chaire Intelligence artificielle responsable à l’échelle mondiale– Université Panthéon-Assas et Université d’Ottawa
Une étape-clé dans l’adoption d’un cadre européen pour l’intelligence artificielle (IA) vient d’être franchie : le 14 juin dernier, le Parlement européen a voté à une vaste majorité le projet de réglementation sur l’IA. Le « trilogue » rassemblant les trois institutions de l’Union européenne pourrait aboutir à un texte définitif d’ici la fin de l’année, pour une mise en œuvre avant les élections au Parlement européen en 2024.
Dans quel contexte le projet de loi sur la règlementation de l’intelligence artificielle a-t-il été adopté par les députés européens ? Quel est son objectif ?
La proposition de règlement sur l’intelligence artificielle a été présentée le 21 avril 2021 par la Commission européenne. Ce texte se présentait alors comme le premier texte juridique visant à introduire des règles en la matière. Par la suite, les États membres, réunis au Conseil de l’Union européenne, ont adopté leur position le 6 décembre 2022. En mai 2023, les députés européens des commissions des libertés civiles et du marché intérieur avaient déjà adopté une série d’amendements destinés à durcir les règles proposées par la Commission dans un souci de protection des individus et de l’environnement. Le 14 juin 2023, et après 18 mois de négociation, ces dispositions ont été très largement approuvées par le Parlement (499 pour, 28 contre, 93 abstentions), lors du vote en séance plénière à Strasbourg. La durée d’examen du texte par le Parlement a été allongée à la suite des controverses relatives aux systèmes d’IA génératives, capables de créer des textes ou des images, comme chatGPT d’Open AI ou Midjourney.
Quelles sont les mesures principales du projet de loi sur la régulation de l’intelligence artificielle ?
L’accord adopté par le Parlement européen le 14 juin conserve l’approche globale de la Commission européenne, à savoir une réglementation de l’IA fondée sur quatre niveaux de risques. Elle diffère néanmoins sur un certain nombre de points majeurs dont voici quelques exemples.
Le plus notable est certainement l’interdiction des systèmes d’identification biométrique (incluant la reconnaissance faciale) à distance « en temps réel » dans des espaces accessibles au public, dans tous les secteurs, et plus seulement dans le cadre des fonctions de police-justice qui bénéficiaient par ailleurs de larges exceptions. Le Parlement européen fait ainsi écho à l’avis conjoint du Contrôleur et du Comité européen de la protection des données.
Également, de nouvelles dispositions ont été ajoutées visant l’IA générative et les modèles de fondation (foundational models). Ces systèmes d’IA à usage général peuvent être utilisés pour des finalités autres que celles pour lesquelles ils ont été spécifiquement conçus. Cela inclut les IA génératives, comme le modèle de langage et robot conversationnel ChatGPT ou le générateur d’images Midjourney. Ces systèmes seront soumis à un régime spécifique d’obligations. La chaîne de responsabilité est modifiée par l’introduction du « déployeur » qui devient responsable à la place du fournisseur du système au moment de son utilisation. Le texte prévoit aussi des exigences spécifiques pour les IA génératives : outre l’obligation d’informer les utilisateurs qu’un contenu a été produit par de l’IA, comme le proposait initialement la Commission européenne, il charge désormais les fournisseurs de concevoir des systèmes qui ne peuvent créer des contenus illégaux et de publier un résumé du recours aux données d’entraînement protégées par le droit d’auteur.
Est maintenue l’approche par les quatre niveaux de risques, suivant laquelle doit être identifié un risque significatif pour la santé, la sécurité, les droits fondamentaux des personnes ou l’environnement. Les systèmes d’IA à hauts risques, autorisés mais strictement encadrés, doivent respecter une série d’obligations de supervision humaine, de gouvernance des données, de documentation, d’évaluation et de cybersécurité. Ces systèmes d’IA à hauts risques sont énoncés parmi huit domaines : les systèmes biométriques ; la gestion et l’exploitation des infrastructures critiques ; l’éducation et la formation professionnelle ; l’emploi ; l’accès aux services privés et publics essentiels et aux prestations sociales ; les autorités répressives ; la gestion de l’immigration, de l’asile et les contrôles aux frontières ; l’administration de la justice et les processus démocratiques. Le Parlement charge le fournisseur d’estimer l’existence du risque, selon un principe d’autoévaluation et sous peine d’amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise. Le Parlement a aussi modifié la qualification de certains systèmes d’IA à hauts risques, désormais interdits, comme les systèmes destinés à évaluer les risques d’apparition ou de réitération d’une infraction pénale ou administrative réelle ou potentielle, sur la base du profilage d’une personne physique ou sur l’évaluation des traits de personnalité et des caractéristiques. Le Parlement ajoute aussi de nouveaux systèmes à hauts risques, comme ceux utilisés pour influencer les électeurs lors de campagnes politiques.
Quelle place l’Union européenne entend-t-elle occuper en matière de régulation de l’Intelligence artificielle ?
Le règlement sur l’intelligence artificielle met en œuvre l’engagement politique pris par Ursula von der Leyen, présidente de la Commission européenne, dans ses orientations pour la Commission 2019-2024 (« Une Union plus ambitieuse »). Elle annonçait que la Commission présenterait une proposition législative en vue de l’adoption d’une approche européenne coordonnée relative aux implications humaines et éthiques de l’IA, conformément aux valeurs de l’UE et aux droits fondamentaux. Le 19 février 2020, la Commission a publié son livre blanc intitulé « Intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance » qui a conduit à la proposition de règlement.
D’un point de vue géopolitique, l’Union européenne a pour objectif de détenir avec ce règlement, le leadership normatif en étant la première entité mondiale à se doter d’un cadre juridique complet et global pour limiter les risques de l’IA. Face à la Chine et aux États-Unis, elle désire devenir une référence internationale en matière de régulation de l’IA. Le champ d’application du règlement a d’ailleurs un effet extraterritorial : il s’applique aux fournisseurs qui placent sur le marché ou mettent en service des systèmes d’IA dans l’Union, peu importe si ces derniers se trouvent dans un État membre ou dans un pays tiers. Le règlement s’applique même si les fournisseurs et utilisateurs sont situés en dehors de l’Union, dès lors que les résultats des systèmes d’IA sont utilisés dans l’Union.
Quelles sont les prochaines étapes concernant l’adoption du projet de loi ?
L’adoption par le Parlement européen marque le début des négociations interinstitutionnelles entre la Commission européenne, le Parlement européen et le Conseil de l’Union européenne (les trilogues) qui ont débuté le soir même du vote avec une rencontre introductive. Deux trilogues sont déjà programmés sous la présidence espagnole, les 18 juillet et 26 septembre, en vue d’obtenir un accord des institutions en octobre prochain. L’interdiction de l’identification biométrique pourrait représenter un point de divergence majeur entre le Parlement européen et le Conseil de l’Union européenne. Dans le meilleur des cas, le règlement n’entrera pas en application avant 2025.
[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]
