L’AI Act : du Livre Blanc au Règlement posant les bases d’une harmonisation de l’Intelligence artificielle en Europe
Le 21 avril 2021, la Commission Européenne a rendu publique l’AI Act (Artificial Intelligence Act), son projet de réglementation sur l’intelligence artificielle. Cette initiative vise à encadrer l’intelligence artificielle de façon à la rendre digne de confiance, centrée sur l’humain, éthique, durable et inclusive.
Il s’agit d’instaurer le tout premier cadre légal au niveau mondial encadrant ces innovations, afin de placer l’Union Européenne en tant que pionnière des technologies éthiques, grâce à la mise en place de normes internationales et l’utilisation d’une approche géographique globale. En effet, cette réglementation sera appliquée non-seulement aux technologies d’intelligence artificielle conçue au sein de l’Union Européenne mais aussi à tout opérateur traitant sur le marché unique européen. Comme le RGPD, l’AI Act posera les bases d’un socle mondial en termes de protection des droits face aux usages de l’Intelligence artificielle.
Si l’objectif est de mettre en place un cadre légal uniforme, notamment pour le développement, la commercialisation et l’utilisation de l’intelligence artificielle, l’Union européenne propose une approche basée sur la protection des droits fondamentaux de ces citoyens comme base d’une régulation éthique et fonctionnelle.
Celle-ci se base notamment sur le respect d’intérêt public, telles qu’un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux, assurant ainsi la protection des consommateurs, des droits des utilisateurs, de la vie privée et de la sécurité.
Il est important de noter que L’AI Act ne se pose pas en interdiction, mais en contrôle. En effet, l’AI Act a pour but de garantir la libre circulation transfrontalière des biens et services fondés sur l’IA, empêchant ainsi les États membres d’imposer les restrictions concernant le développement, la commercialisation et l’utilisation de systèmes d’IA (sauf autorisation expresse du présent règlement).
Cette proposition est le résultat de nombreuses études, livres blancs, analyses etc. débutées en 2018 qui ont souligné que la législation en place actuellement présentait des lacunes à combler. L’AI Act va maintenant être soumis au Parlement Européen et au Conseil de l’Union Européenne, de sorte à ce qu’il puisse être accepté d’ici 2022 et mis en application à partir de 2024.
L’AI Act : une approche basée sur la notion de risque en prolongement et en coordination avec la RGPD
Ce nouveau règlement est composé de règles proportionnées et souples prévues pour faire face aux risques spécifiques liés aux différents systèmes d’intelligence artificielle. On peut donc parler d’une approche basée sur les risques, ces derniers étant classifiés en quatres typologies:
- les systèmes d’intelligence artificielle “inacceptables” ;
- ceux possédant des “risques élevés” ;
- ceux avec des “risques acceptables” ;
- et enfin, l’intelligence artificielle aux “risques minimes”.
L’AI Act concerne principalement les deux premières catégories de systèmes : ceux présentant des risques “inacceptables” et ceux présentant des risques “élevés”. Pour les deux catégories restantes, la réglementation sera basée sur la logique de responsabilité. Cependant, il conviendra pour les acteurs de réaliser une cartographie précise des risques afin de classifier au plus juste dans quelle catégorie se trouvent leurs IA. Cette logique de responsabilité devra donc pousser les acteurs à être attentifs aux traitements opérés dans le cadre de leurs activités.
Qu’est-ce que l’IA inacceptable au sens du Règlement ?
L’intelligence artificielle considérée comme “inacceptable” comprend tous les systèmes dont l’utilisation est considérée comme allant à l’encontre des valeurs de l’Union Européenne. Il s’agira notamment des systèmes qui présentent des aspects fondamentalement contraires aux droits fondamentaux, à travers, par exemple, la manipulation inconsciente des comportements ou bien l’exploitation des vulnérabilités de certains groupes pour influencer leur comportement. La notation sociale basée sur l’intelligence artificielle à des fins générales par les autorités publiques ainsi que l’utilisation de systèmes d’identification biométrique “en temps réel” dans les espaces publics (sauf exceptions) sont deux autres cas d’intelligence artificielle inacceptables. L’AI Act propose tout simplement d’interdire ce genre de systèmes.
Qu’est-ce que l’IA présentant des risques élévés au sens du Règlement ?
L’intelligence artificielle qui présente des “risques élevés” englobe tous les systèmes qui créent un risque élevé pour la santé et la sécurité ou les droits fondamentaux des personnes physiques (définis par la Commission Européenne). On trouve deux grandes catégories de systèmes à haut risque. D’une part, il y a les systèmes d’intelligence artificielle destinés à être utilisés comme composants de produits de sécurité, et, d’autre part, les systèmes d’intelligence artificielle autonomes ayant principalement des implications sur les droits fondamentaux (ces systèmes sont explicitement énumérés dans l’AI Act). La médecine assistée, les tris automatiques de CV, la notation d’examens et le scoring pour l’attribution d’un crédit sont des exemples types d’intelligence artificielle à hauts risques. Ce type de système devra systématiquement être soumis à une évaluation de conformité strict par un tiers. Pour être mise sur le marché, la technologie IA devra:
- Être supervisée par un humain
- Posséder un système adéquat pour atténuer les risques
- Avoir des jeux de données de qualité élevée
- Disposer de résultats traçables
- Fournir une documentation détaillée et à jour en cas de contrôle
- Assurer un haut niveau de robustesse, de sécurité et d’exactitude
- Procurer des informations claires aux consommateurs
Le responsable de traitements au sens du Règlement devra donc être particulièrement attentif à qualifier justement les différentes AI qu’il utilise dans le cadre de ses activités afin de mesurer au plus juste les potentiels impacts et risques associés. Cette logique de responsabilité étant accompagnée de sanctions spécifiques. Il conviendra dans cette cartographie de se faire accompagner en amont du déploiement de ces AI mais aussi dans un second temps dans le suivi.
Qu’est-ce que l’IA présentant des risques acceptables et minimes au sens du Règlement ?
L’intelligence artificielle avec des “risques acceptables” concerne tous les systèmes qui interagissent avec les humains, qui sont utilisés pour détecter des émotions ou déterminer l’association avec catégories sociales basées sur des données biométriques et qui génèrent ou manipulent du contenu.
Enfin, l’intelligence artificielle avec des “risques minimes” concerne tous les systèmes qui appliquent un code de conduite incluant des engagement relatifs à la durabilité environnementale, à l’accessibilité des personnes possédant un handicap, à la participation des parties prenantes à la conception et au développement des systèmes d’intelligence artificielle; ainsi qu’à la diversité des équipes de développement.
De par son focus sur des cas spécifiques (c’est-à-dire lorsque les droits des citoyens Européens sont compromis), la Commission montre sa volonté de réguler l’intelligence artificielle tout en permettant un essor de l’innovation et le développement d’un marché unique pour les applications d’intelligence artificielle légales, dignes de confiance et éthiques.
Des sanctions conséquentes analogues à celles du RGPD en cas de méconnaissance du Règlement.
En cas de violation de l’AI Act, les sanctions encourues suivent la même logique que celle du régime du RGPD. L’AI Act va même plus loin en augmentant les sanctions lorsqu’il est question d’usages “inacceptables” de l’intelligence artificielle. En effet, en cas de non-respect des règles dans cet usage la personne encourt un amende de 30 millions d’euros ou pouvant aller jusqu’à 6% du chiffre d’affaires pour une entreprise. En ce qui concerne les autres cas de violation de l’AI Act, l’amende encourue sera de 20 millions d’euros, ou 5% du chiffre d’affaires dans le cas d’une entreprise.
L’AI Act prévoit aussi des amendes pour manquement de coopération avec les autorités nationales au sein de l’Union Européenne, pouvant s’élever jusqu’à 10 millions d’euros d’amendes ou 2% du chiffre d’affaires.
Devoteam vous accompagne dans le cadre de la mise en conformité des systèmes d’intelligence artificielle au sein de vos organisations, l’équipe Cybersécurité de Devoteam se tient à votre disposition afin de vous offrir les meilleures solutions et offres.
