Proposition de cadre réglementaire sur l’intelligence artificielle

La proposition réglementaire vise à fournir aux développeurs, aux déployeurs et aux utilisateurs d’IA des exigences et des obligations claires en ce qui concerne les utilisations spécifiques de l’IA. Dans le même temps, la proposition vise à réduire les charges administratives et financières pour les entreprises, en particulier les petites et moyennes entreprises (PME).

La proposition fait partie d’un paquet plus large sur l’IA, qui comprend également le plan coordonné actualisé en matière d’IA. Ensemble, le cadre réglementaire et le plan coordonné garantiront la sécurité et les droits fondamentaux des personnes et des entreprises en matière d’IA. Et ils renforceront l’adoption, l’investissement et l’innovation dans l’IA dans l’ensemble de l’UE.

Pourquoi avons-nous besoin de règles sur l’IA?

La proposition de règlement sur l’IA garantit que les Européens peuvent faire confiance à ce que l’IA a à offrir. Alors que la plupart des systèmes d’IA sont limités à aucun risque et peuvent contribuer à résoudre de nombreux défis sociétaux, certains systèmes d’IA créent des risques auxquels nous devons nous attaquer pour éviter les résultats indésirables.

Par exemple, il est souvent impossible de savoir pourquoi un système d’IA a pris une décision ou une prédiction et a pris une mesure particulière. Il peut donc devenir difficile d’évaluer si une personne a été injustement désavantagée, par exemple dans une décision d’embauche ou dans une demande de régime d’utilité publique.

Bien que la législation existante fournisse une certaine protection, elle est insuffisante pour relever les défis spécifiques que les systèmes d’IA peuvent présenter.

Les règles proposées:

• traiter les risques spécifiquement créés par les applications d’IA;
• proposer une liste d’applications à haut risque;
• définir des exigences claires pour les systèmes d’IA pour les applications à haut risque;
• définir des obligations spécifiques pour les utilisateurs d’IA et les fournisseurs d’applications à haut risque;
• proposer une évaluation de la conformité avant que le système d’IA ne soit mis en service ou mis sur le marché;
• proposer une application après la mise sur le marché d’un tel système d’IA;
• proposer une structure de gouvernance aux niveaux européen et national.

Une approche fondée sur les risques

Le cadre réglementaire définit quatre niveaux de risque en matière d’IA:

• Risque inacceptable
• Risque élevé
• Risque limité
• Risque minimal ou nul

Risque inacceptable

Tous les systèmes d’IA considérés comme une menace évidente pour la sécurité, les moyens de subsistance et les droits des personnes seront interdits, de la notation sociale par les gouvernements aux jouets utilisant l’assistance vocale qui encouragent les comportements dangereux.

Risque élevé

Les systèmes d’IA identifiés comme à haut risque comprennent la technologie de l’IA utilisée dans:

• les infrastructures critiques (par exemple les transports), susceptibles de mettre en danger la vie et la santé des citoyens;
• la formation éducative ou professionnelle, qui peut déterminer l’accès à l’éducation et au cours professionnel de la vie d’une personne (par exemple, la notation des examens);
• composants de sécurité des produits (par exemple, application d’IA en chirurgie assistée par robot);
• l’emploi, la gestion des travailleurs et l’accès au travail indépendant (par exemple, un logiciel de tri de CV pour les procédures de recrutement);
• services publics et privés essentiels (par exemple, notation de crédit refusant aux citoyens la possibilité d’obtenir un prêt);
• les services répressifs susceptibles d’interférer avec les droits fondamentaux des personnes (par exemple, évaluation de la fiabilité des preuves);
• gestion des migrations, de l’asile et du contrôle aux frontières (par exemple, vérification de l’authenticité des documents de voyage);
• administration de la justice et processus démocratiques (p. ex. application de la loi à un ensemble concret de faits).

Les systèmes d’IA à haut risque seront soumis à des obligations strictes avant de pouvoir être mis sur le marché:

• des systèmes adéquats d’évaluation et d’atténuation des risques;
• haute qualité des ensembles de données alimentant le système afin de minimiser les risques et les résultats discriminatoires;
• l’enregistrement des activités afin d’assurer la traçabilité des résultats;
• une documentation détaillée fournissant toutes les informations nécessaires sur le système et son objet pour permettre aux autorités d’évaluer sa conformité;
• des informations claires et adéquates pour l’utilisateur;
• des mesures de surveillance humaines appropriées pour minimiser les risques;
• haut niveau de robustesse, de sécurité et de précision.

Tous les systèmes d’identification biométrique à distance sont considérés comme présentant un risque élevé et soumis à des exigences strictes. L’utilisation de l’identification biométrique à distance dans des espaces accessibles au public à des fins répressives est, en principe, interdite.

Des exceptions étroites sont strictement définies et réglementées, par exemple lorsque cela est nécessaire à la recherche d’un enfant disparu, à la prévention d’une menace terroriste spécifique et imminente ou à la détection, à la localisation, à l’identification ou à la poursuite d’un auteur ou d’un suspect d’une infraction pénale grave.

Cette utilisation est soumise à l’autorisation d’un organe judiciaire ou d’un autre organisme indépendant et à des limites appropriées dans le temps, la portée géographique et les bases de données recherchées.

Risque limité

Le risque limité se réfère aux systèmes d’IA assortis d’obligations de transparence spécifiques. Lors de l’utilisation de systèmes d’IA tels que les chatbots, les utilisateurs doivent être conscients qu’ils interagissent avec une machine afin qu’ils puissent prendre une décision éclairée de continuer ou de prendre du recul.

Risque minimal ou nul

La proposition permet la libre utilisation de l’IA à risque minimal. Cela inclut des applications telles que les jeux vidéo compatibles avec l’IA ou les filtres anti-spam. La grande majorité des systèmes d’IA actuellement utilisés dans l’UE relèvent de cette catégorie.

Une fois qu’un système d’IA est sur le marché, les autorités sont chargées de la surveillance du marché, les utilisateurs assurent la surveillance et le suivi humains, et les fournisseurs ont mis en place un système de surveillance post-commercialisation. Les fournisseurs et les utilisateurs signaleront également des incidents graves et des dysfonctionnements.

Législation à l’épreuve du temps

Étant donné que l’IA est une technologie en évolution rapide, la proposition a une approche à l’épreuve du temps, permettant aux règles de s’adapter aux changements technologiques. Les applications d’IA devraient rester dignes de confiance même après leur mise sur le marché. Cela nécessite une gestion continue de la qualité et des risques par les fournisseurs.

Prochaines étapes

À la suite de la proposition de la Commission en avril 2021, le règlement pourrait entrer en vigueur fin 2022/début 2023 dans une période transitoire. Au cours de cette période, des normes seraient prescrites et élaborées, et les structures de gouvernance mises en place seraient opérationnelles. La deuxième moitié de 2024 est la première fois que le règlement pourrait devenir applicable aux opérateurs, les normes étant prêtes et les premières évaluations de la conformité réalisées.