L’Europe propose des règles pour l’intelligence artificielle
Nathalie Devillier, Grenoble École de Management (GEM)
Dans son discours de candidature à la présidence de la Commission européenne, Ursula von der Leyen avait pointé la nécessité d’une approche éthique de l’intelligence artificielle. Depuis, les institutions européennes ont fourni un travail considérable pour faire de l’Union européenne un espace où les opérateurs de systèmes d’IA pourront développer leur activité tout en renforçant la confiance des consommateurs.
Fin avril, la Commission européenne a soumis une proposition de règlement afin que les mêmes règles s’appliquent partout dans l’UE : l’environnement juridique des opérateurs sera identique dans tous les États membres. Cette solution est également profitable aux citoyens de l’UE qui bénéficieront d’un même niveau de protection.
Cette proposition reflète des objectifs jumeaux : promouvoir l’adoption de solutions basées sur l’IA et faire face aux risques associés à certains usages de cette technologie.
Une approche fondée sur les risques
La proposition de règlement vise à minimiser les risques de discrimination algorithmique, en particulier en relation avec la conception et la qualité des données utilisées pour le développement de systèmes d’IA. Elle concerne les services et utilisations de systèmes d’IA définis notamment comme ceux reposant sur des approches de machine learning (supervisé ou non et de renforcement, y compris le deep learning), des approches logiques, symboliques ou fondées sur la connaissance ou statistiques.
Le texte adopté par la Commission contient une méthodologie qui permet de définir quand un système d’IA est à haut risque pour la santé et la sécurité des personnes ou pour les droits fondamentaux des citoyens. L’approche par les risques a été identifiée comme la plus pertinente lors de la consultation publique, plutôt que de donner un blanc-seing à tous les systèmes d’IA ou de légiférer de manière ad hoc.
En effet, cette approche par les risques permet une interprétation sectorielle et prend en considération les impacts sur les droits et la sécurité. Cette approche est également retenue par le projet de règlement sur un régime de responsabilité civile pour l’IA qui préconise une responsabilité objective du fait des systèmes d’IA à haut risque. Elle est aussi mise en exergue par le Conseil européen.
Ainsi, certaines pratiques reposant sur l’IA générant un risque inacceptable sont interdites : l’utilisation de techniques subliminales (basées sur un stimulus incorporé dans un objet et conçu pour être perçu au-dessous du niveau de conscience), l’exploitation de groupes ou personnes vulnérables en raison de leur âge, handicap physique ou mental, le score de confiance ou d’évaluation sociale des personnes (comme celui utilisé en Chine). Certaines utilisations de systèmes d’identification biométrique en temps réel à distance dans l’espace public à des fins d’application de la loi s’accompagneront de restrictions spécifiques et de mesures de sauvegardes.
Quels sont les systèmes d’IA à haut risque ?
Huit catégories de systèmes d’IA sont d’ores et déjà considérées comme étant à haut risque. Ils relèvent de ces contextes :
- Identification biométrique et catégorisation des personnes.
- Gestion et exploitation d’infrastructures critiques.
- Formation et formation professionnelle.
- Emploi, gestion des salariés et accès au travail indépendant.
- Accès et jouissance de services privés essentiels et de services publics.
- Application de la loi (exécution d’une décision de justice, enquête judiciaire).
- Immigration, asile et gestion des contrôles à la frontière.
- Administration de la justice et processus démocratiques.
Cette liste sera adaptée par la Commission européenne via des actes délégués. D’autres systèmes d’IA seront qualifiés à haut risque en vertu de règles de classification.
Les points clés pour les opérateurs de systèmes d’IA à haut risque
Les systèmes d’IA devront respecter les exigences du futur règlement et se soumettre ex ante à des procédures d’évaluation de la conformité, c’est-à-dire avant même d’être mis en circulation sur le marché européen.
Elles seront pilotées dans chaque État membre par leurs agences actuelles en coopération avec le futur Comité européen de l’IA préconisé par la proposition de règlement (chaque État désignerait une agence parmi les autorités nationales existantes, ou créerait une spécifique pour l’IA).
Ces exigences concernent les données utilisées, la documentation, la traçabilité, des dispositions sur la transparence (droit à l’information des utilisateurs), les tests, la gestion des risques, la supervision humaine tout au long du cycle de vie du système d’IA, sa robustesse, sa précision et sa sécurité. Ces obligations concernent également les importateurs, distributeurs et représentants autorisés.
Des obligations de transparences plus spécifiques concernent les systèmes d’IA comportant un risque particulier de manipulation soit parce qu’ils interagissent avec les personnes, ou sont utilisés pour détecter les émotions ou déterminer une association avec des catégories (sociales) basées sur des données biométriques ou alors parce qu’ils génèrent ou manipulent un contenu (deep fake).
Les entreprises sont invitées à adopter des codes de conduite sur une base qui reste volontaire, avec des dispositions spécifiques pour les PME.
La visée éthique du règlement et les droits des citoyens
La proposition de règlement est basée sur les valeurs et les droits fondamentaux et affirme que l’IA devrait être une force pour la société avec comme but ultime l’accroissement du bien-être humain. Les règles sur l’IA doivent être centrées sur l’humain et faire qu’elle soit sûre et conforme au droit applicable.
La Commission européenne répond ici aux demandes exprimées par le Parlement européen et le Conseil européen. Ce dernier a particulièrement insisté sur la nécessité d’assurer que les droits des citoyens européens issus de la Charte des droits fondamentaux de l’UE soient pleinement respectés et appliqués : droit à la dignité humaine, respect de la vie privée et protection des données à caractère personnel, non-discrimination, égalité homme-femme, droit à la liberté d’expression et de réunion, présomption d’innocence, droit à des conditions de travail justes et équitables, haut niveau de protection des consommateurs, droits de l’enfant, intégration des personnes handicapées et niveau élevé de protection de l’environnement.
Lorsque des technologies d’IA à haut risque sont développées et utilisées, la proposition de règlement impose des limites à des libertés reconnues par la Charte : liberté d’entreprise, liberté des arts et des sciences au nom de la protection de l’intérêt public (protection de la santé, de la sécurité et des consommateurs). Ces restrictions justifiées par l’innovation responsable s’accompagnent d’obligations de transparence renforcées. Ces obligations corrigeront l’effet « boîte noire » des systèmes d’IA caractérisés par l’opacité, la complexité, l’autonomie et la dépendance envers les données de leurs algorithmes, mais elles seront limitées à ce qui est nécessaire pour les besoins des autorités nationales chargées du contrôle de ces technologies et aux citoyens dans l’exercice de leur droit à un recours effectif.
Des sanctions dissuasives
La proposition de la Commission européenne est fortement ancrée dans son credo de « Digital Decade » pour le marché intérieur et la promotion de l’innovation, maintes fois réaffirmées, avec la directive sur les données ouvertes et la stratégie européenne pour les données. Toutefois, elle laisse intact le règlement général sur la protection des données à caractère personnel (RGPD) et les sanctions qu’il préconise.
De plus dans le cadre de ce projet, les États membres pourront appliquer des sanctions, y compris des amendes administratives, qui seront effectives, proportionnées et dissuasives.
Articulation avec les autres wagons du train législatif de l’UE sur l’IA
La complexité apparente des initiatives des institutions européennes peut être visualisée sur le site du train législatif européen.
La proposition n’a pas pour effet de remettre en cause la directive eCommerce, ni la proposition de législation sur les services numériques (Digital Service Act). Elle s’inscrit dans le droit fil des résolutions d’octobre 2020 du Parlement européen sur l’éthique, la responsabilité et le droit d’auteur, mais aussi les plus récentes sur les questions pénales, l’éducation, la culture et le secteur audiovisuel.
Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.