I) Un règlement d’application directe à mise en œuvre progressive
Le règlement (UE) 2024/1689 du parlement européen et du conseil (dit le règlement sur l’intelligence artificielle ou « RIA ») est entré en vigueur il y a un an, le 2 août 2024. Son objectif principal est d’harmoniser le marché au sein de l’Union européenne et de garantir la libre circulation des systèmes d’IA. Ce texte encadre le développement, le déploiement et l’utilisation de l’IA dans l’Union, en imposant aux opérateurs un niveau d’exigence et d’obligations proportionné aux risques associés à la finalité prévue de chaque système. Il vise à s’assurer que les systèmes d’IA mis sur le marché préservent la santé, la sécurité et les droits fondamentaux des personnes.
La mise en œuvre des dispositions du RIA s’effectue de manière progressive dans l’ensemble des États membres. Certaines obligations sont d’ores et déjà applicables depuis le 2 février 2025, notamment :
- l’interdiction de certaines pratiques d’IA jugées inacceptables (par exemple, la notation sociale ou la manipulation cognitive subliminale),[1]
- l’exigence de maîtrise des systèmes d’IA pour les opérateurs concernés.[2]
La CNPD a déjà publié des articles sur ces obligations applicables depuis le 2 février, et continuera dans les mois à venir de communiquer au sujet des nouvelles obligations issues du RIA ainsi que des inférences entre celui-ci et le règlement général sur la protection des données (« RGPD »).
Ce 2 août, de nouvelles obligations sont entrées en application, notamment :
- l’obligation de transparence pour les systèmes d’IA génératifs ou interactifs (ce qui implique, par exemple, une mention explicite lorsqu’un utilisateur interagit avec une IA),
- les exigences applicables aux organismes d’évaluation de la conformité,
- les critères d’évaluation des modèles d’IA à usage général et leur qualification selon le niveau de risque,
- la possibilité pour les fournisseurs de modèles d’IA d’adopter un code de conduite volontaire (chapitre V du règlement).
II) Un projet de loi pour la mise en œuvre Luxembourgeoise du règlement IA
Au niveau national, le projet de loi n°8476 prévoit notamment :
- la désignation des autorités compétentes,
- des mesures de soutien à l'innovation en matière d'IA,
- la facilitation de la coopération entre les parties prenantes, et
- la définition des sanctions et des mécanismes de recours.
Plutôt que de créer de nouvelles autorités spécifiques, il a été choisi d'étendre les mandats des institutions existantes. Cette approche garantit la continuité, évite les chevauchements et tire parti de l'expertise existante, ce qui est particulièrement important compte tenu de la nature contextuelle des technologies d'IA.
Afin d’assurer une mise en œuvre efficace et cohérente du RIA, le projet de loi PL8476 prévoit d’élargir sensiblement les missions de la CNPD. Les nouveaux rôles qu’elle se verra attribuer visent à tirer parti de l'expertise existante de la CNPD en matière de protection des données et à élargir son mandat pour couvrir les aspects clés de la gouvernance de l'IA.
Les attributions proposées dans le cadre de ce projet de loi incluent les rôles suivants :
- organisme notifié (Article 6) : la CNPD serait désignée comme organisme notifié chargé d'évaluer la conformité des systèmes d'IA à haut risque dans le cadre de leur déploiement par les autorités répressives et les compétentes en matière d'asile et d'immigration,
- autorité de surveillance du marché par défaut (Article 7(1)) : la CNPD agirait en tant qu'autorité par défaut pour le contrôle et l'application du règlement sur l'IA,
- mise en place d’un bac à sable réglementaire (Article 12(1)) : la CNPD superviserait le fonctionnement des bacs à sable réglementaires, offrant un environnement contrôlé pour l’expérimentation de l’IA,
- point de contact unique (Article 13) : la CNPD servirait de point de contact central pour les questions réglementaires liées à l’IA au niveau national,
- autorité chargée des droits fondamentaux : la CNPD serait habilitée à surveiller et à traiter les risques pour les droits fondamentaux liés à l’utilisation des systèmes d’IA, à côté de l’ALIA et de l’ITM.
[1] Article 5 : du règlement du parlement européen et du conseil « les pratiques interdites en matière d’IA »
[2] Article 4 : du règlement du parlement européen et du conseil « la maîtrise de l’IA »