Proposition cadre réglementaire sur l’intelligence artificielle

La proposition réglementaire vise à fournir aux développeurs, aux déployeurs et aux utilisateurs d’IA des exigences et des obligations claires en ce qui concerne les utilisations spécifiques de l’IA. Dans le même temps, la proposition vise à réduire les charges administratives et financières pour les entreprises, en particulier les petites et moyennes entreprises (PME).

La proposition fait partie d’un paquet plus large sur l’IA, qui comprend également le plan coordonné actualisé sur l’IA. Ensemble, le cadre réglementaire et le plan coordonné garantiront la sécurité et les droits fondamentaux des personnes et des entreprises en matière d’IA. Et, elles renforceront l’adoption, l’investissement et l’innovation dans l’IA dans l’ensemble de l’UE.

Pourquoi avons-nous besoin de règles sur l’IA?

La proposition de règlement sur l’IA garantit aux Européens la possibilité de faire confiance à ce que l’IA a à offrir. Alors que la plupart des systèmes d’IA présentent un risque limité à aucun risque et peuvent contribuer à résoudre de nombreux défis sociétaux, certains systèmes d’IA créent des risques auxquels nous devons faire face pour éviter des résultats indésirables.

Par exemple, il n’est souvent pas possible de savoir pourquoi un système d’IA a pris une décision ou une prédiction et a pris une mesure particulière. Il peut donc devenir difficile d’évaluer si une personne a été injustement désavantagée, par exemple dans une décision d’embauche ou dans une demande d’aide publique.

Bien que la législation existante offre une certaine protection, elle n’est pas suffisante pour relever les défis spécifiques que peuvent poser les systèmes d’IA.

Les règles proposées seront les suivantes:

• traiter les risques spécifiquement créés par les applications d’IA;
• proposer une liste des applications à haut risque;
• fixer des exigences claires pour les systèmes d’IA pour les applications à haut risque;
• définir des obligations spécifiques pour les utilisateurs d’IA et les fournisseurs d’applications à haut risque;
• proposer une évaluation de la conformité avant la mise en service ou la mise sur le marché du système d’IA;
• proposer des mesures d’application après la mise sur le marché d’un tel système d’IA;
• proposer une structure de gouvernance aux niveaux européen et national.

Une approche fondée sur les risques

Le cadre réglementaire définit quatre niveaux de risque dans l’IA:

• Risque inacceptable
• Risque élevé
• Risque limité
• Risque minimal ou nul

Risque inacceptable

Tous les systèmes d’IA considérés comme une menace claire pour la sécurité, les moyens de subsistance et les droits des personnes seront interdits, de la notation sociale par les gouvernements aux jouets utilisant une assistance vocale qui encourage les comportements dangereux.

Risque élevé

Les systèmes d’IA identifiés comme à haut risque comprennent la technologie de l’IA utilisée dans:

• les infrastructures critiques (par exemple, les transports), qui pourraient mettre en péril la vie et la santé des citoyens;
• la formation éducative ou professionnelle, qui peut déterminer l’accès à l’éducation et au cours professionnel de la vie d’une personne (par exemple, notation des examens);
• composants de sécurité des produits (par exemple, application d’IA en chirurgie assistée par robot);
• emploi, gestion des travailleurs et accès au travail indépendant (par exemple, logiciel de tri des CV pour les procédures de recrutement);
• services privés et publics essentiels (par exemple, notation de crédit refusant aux citoyens la possibilité d’obtenir un prêt);
• les services répressifs susceptibles d’entraver les droits fondamentaux des personnes (par exemple, l’évaluation de la fiabilité des preuves);
• gestion de la migration, de l’asile et du contrôle aux frontières (par exemple, vérification de l’authenticité des documents de voyage);
• l’administration de la justice et les processus démocratiques (par exemple, l’application de la loi à un ensemble de faits concrets).

Les systèmes d’IA à haut risque seront soumis à des obligations strictes avant de pouvoir être mis sur le marché:

• des systèmes adéquats d’évaluation et d’atténuation des risques;
• haute qualité des ensembles de données alimentant le système afin de minimiser les risques et les résultats discriminatoires;
• enregistrement de l’activité pour assurer la traçabilité des résultats;
• une documentation détaillée fournissant toutes les informations nécessaires sur le système et son objet pour permettre aux autorités d’évaluer leur conformité;
• des informations claires et adéquates à l’utilisateur;
• des mesures de surveillance humaine appropriées pour réduire au minimum les risques;
• haut niveau de robustesse, de sécurité et de précision.

Tous les systèmes d’identification biométrique à distance sont considérés comme à haut risque et soumis à des exigences strictes. L’utilisation de l’identification biométrique à distance dans des espaces accessibles au public à des fins répressives est, en principe, interdite.

Les exceptions étroites sont strictement définies et réglementées, par exemple, lorsque cela est nécessaire pour rechercher un enfant disparu, pour prévenir une menace terroriste spécifique et imminente ou pour détecter, localiser, identifier ou poursuivre un auteur ou un suspect d’une infraction pénale grave.

Cette utilisation est soumise à l’autorisation d’un organe judiciaire ou d’un autre organisme indépendant et à des limites appropriées dans le temps, la portée géographique et les bases de données recherchées.

Risque limité

Le risque limité concerne les systèmes d’IA assortis d’obligations de transparence spécifiques. Lors de l’utilisation de systèmes d’IA tels que les chatbots, les utilisateurs doivent être conscients qu’ils interagissent avec une machine afin qu’ils puissent prendre une décision éclairée de continuer ou de prendre du recul.

Risque minimal ou nul

La proposition permet l’utilisation gratuite de l’IA à risque minimal. Cela inclut des applications telles que les jeux vidéo compatibles avec l’IA ou les filtres anti-spam. La grande majorité des systèmes d’IA actuellement utilisés dans l’UE entrent dans cette catégorie.

Une fois qu’un système d’IA est sur le marché, les autorités sont chargées de la surveillance du marché, les utilisateurs assurent la surveillance et la surveillance humaines, et les fournisseurs disposent d’un système de surveillance post-commercialisation. Les fournisseurs et les utilisateurs signaleront également des incidents graves et des dysfonctionnements.

Législation à l’épreuve du temps

L’IA étant une technologie en évolution rapide, la proposition adopte une approche à l’épreuve du temps, permettant aux règles de s’adapter aux changements technologiques. Les applications d’IA devraient rester fiables même après leur mise sur le marché. Cela nécessite une gestion continue de la qualité et des risques par les fournisseurs.

Prochaines étapes

À la suite de la proposition de la Commission d’avril 2021, le règlement pourrait entrer en vigueur fin 2022/début 2023 au cours d’une période transitoire. Au cours de cette période, des normes seraient prescrites et élaborées, et les structures de gouvernance mises en place seraient opérationnelles. La seconde moitié de 2024 est la première fois que le règlement pourrait devenir applicable aux opérateurs avec les normes prêtes et les premières évaluations de conformité effectuées.