POSITION PAPER par l’iDFRIGHTS. Le 21 avril dernier, Margrethe Vestager et Thierry Breton ont présenté la proposition de la Commission européenne pour une “nouvelle réglementation en matière d’Intelligence artificielle. C’est dans ce cadre que l’iDFrights a rédigé une première analyse générale du texte.
Comme nous l’avons fait pour le DSA/DMA, nous relaierons dans les semaines à venir des contributions de professionnels, d’universitaires et de juristes qui détailleront les positions prises par la Commission.

A marche forcée, l’année 2021 est décidément des plus étonnantes pour le monde numérique. Après le paquet DMA/DSA, la Commission européenne a présenté le 21 avril dernier, une nouvelle règlementation en matière d’Intelligence artificielle (IA).

L’objectif est de mettre l’accent sur les valeurs de l’UE et de conforter la confiance des citoyens européens à l’heure où il se pose de plus en plus de questions dans la société civile sur ce sujet. La Commission édicte donc dans ce texte un certain nombre de garde-fous fondé sur l’approche par les risques.

Elle fournit une définition de ce qu’elle entend par “intelligence artificielle”. Il s’agit d’un logiciel capable, pour un « ensemble donné d’objectifs définis par l’homme, de générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent ». Il s’agit d’une définition assez large permettant d’englober de nombreux aspects technologiques et toute forme de système d’IA.

La proposition vise à encadrer de manière horizontale et transversale la plupart des applications de l’IA, mais ce règlement s’attache davantage à l’encadrement des usages qu’à une règlementation de la technologie elle-même.

Sur le modèle du DSA (Digital Service Act), elle fait reposer sa stratégie sur une approche basée sur l’évaluation du risque classé en 4 catégories :

1 – les usages représentant des risques minimes : la proposition autorise notamment l’utilisation libre d’applications telles que les jeux videos. Le projet ne prévoit pas d’intervention dans ces cas de risques minimes, voire nuls, pour les droits ou la sécurité des citoyens.

2 – Les usages représentant des risques limités qui devront pour leur part, respecter des règles de transparence, comme par exemple, de devoir spécifier aux utilisateurs en ligne, le fait qu’ils interagissent avec un « chatbot » (robot conversationnel qui est un dialogue personne/machine)

3 – Les systèmes de l’IA considérés à haut risque sont ceux utilisés dans les infrastructures notamment en matière de transport (les véhicules autonomes), d’éducation, de formation, de sécurité des produits ou encore dans le domaine de l’emploi et des services privés. Ces systèmes devront être labellisés pour être commercialisés en Europe, donc être conformes à des obligations strictes et soumis à un contrôle humain. Il faudra de plus, que la qualité des données et qu’une transparence totale soient de mise. Ces IA devront enfin produire une documentation détaillée du système accessible.

4- Cette catégorie concerne une interdiction pure et simple des systèmes représentant un risque qualifié d’inacceptable. Sont inclus tous les usages de l’IA menaçant la sécurité, les moyens de subsistance et les droits des personnes. Le « social scoring » en particulier qui est une application qui trie les citoyens en fonction de leurs comportements sociaux afin de leur allouer un score qui leur permette ou pas l’accès à certains services, sera interdit.

Les systèmes d’identification biométrique à distance en temps réel des personnes se trouvant dans l’espace public sont pour leur part qualifiés « à haut risque ». Cependant ils pourront être utilisés dans le cadre d’exceptions lorsqu’il sera question de prévenir une menace terroriste spécifique et imminente, d’identifier ou de localiser un suspect d’une infraction pénale grave ou de rechercher un enfant disparu. Dans ces cas, le recours à ces systèmes devra être autorisé par une instance judiciaire ou un organe indépendant. L’autorisation comprendra des limitations en termes de durée, de portée géographique, et elle devra préciser les bases de données qui pourront être consultées.

Notons l’effort de simplification du législateur qui est revenu à des termes préexistants et a abandonné certains concepts peu clairs. Ainsi les acteurs évoqués par le texte demeurent simplement fournisseur, utilisateur, mandataire, importateur et distributeur.

D’autre part, les éditeurs de logiciels classés « à haut risque » devront mettre en place un « représentant légal » en Europe. Ces derniers, placés sous la surveillance des autorités nationales de régulation compétentes, devront veiller au respect des règles édictées. Le texte prévoit également l’élaboration de « codes de conduite » facultatifs pour encadrer l’usage des systèmes ne présentant pas de « risque élevé » et des « regulatory sandboxes » pour encourager l’innovation responsable.

Les organisations de défenseurs des droits fondamentaux et des consommateurs ont fait part de leur déception car pour elles les règles proposées ne protègent que faiblement les consommateurs.

Le Parlement européen et le Conseil de l’UE vont maintenant entamer leurs travaux dans le cadre de la procédure législative ordinaire.

Par ailleurs, la Commission qui a proposé un plan coordonné avec les Etats membres pour renforcer les investissements et l’innovation dans l’UE et notamment ceux concernant les projets développant de l’IA, va poursuivre la mise en œuvre des actions annoncées dans ce plan.