L’intelligence artificielle (IA) a tissé sa toile dans le quotidien: systèmes de navigation, filtres antispam, prévisions météorologiques, pour ne citer que quelques exemples. Parallèlement au renforcement des aptitudes de l’IA, des volumes croissants de données sont actuellement collectés et les informations sur le comportement humain sont contrôlées; tout cela constitue des défis pour la protection de la vie privée et des données.
Dans le cadre de sa stratégie numérique, l'Union européenne a prévu de réglementer l'intelligence artificielle pour garantir de meilleures conditions de développement et d'utilisation de cette technologie innovante.
Statu quo
A l’heure actuelle, l'utilisation de l'IA dans l’UE est régie par les réglementations couvrant des aspects tels que la protection des données, les droits de l'homme et la sécurité.
Le Règlement général sur la protection des données (RGPD) est l'un des principaux textes législatifs qui s'applique à l'utilisation de l'intelligence artificielle dans l'UE. Le RGPD, conçu pour être technologiquement agnostique, régit la collecte, le traitement et la conservation des données personnelles, y compris celles utilisées dans les systèmes d'IA. Il établit des principes clés tels que le consentement éclairé, la minimisation des données, la limitation de la finalité, la sécurité des données et les droits des personnes sur leurs données personnelles. Lorsque des données personnelles sont utilisées dans des systèmes d'IA, les principes du RGPD doivent être respectés.
En plus du RGPD, d'autres réglementations sectorielles peuvent s'appliquer à l'utilisation de l'IA dans des domaines spécifiques. Par exemple, le Règlement relatif aux dispositifs médicaux (MDR) et le Règlement relatif aux dispositifs médicaux de diagnostic in vitro (IVDR) établissent des exigences pour les dispositifs médicaux utilisant l'IA. Ces réglementations exigent des évaluations de conformité et des certifications appropriées pour garantir la sécurité et l'efficacité de ces dispositifs.
Par ailleurs, le Groupe de travail de l'UE sur l'IA éthique a publié ses « Lignes directrices en matière d’éthique pour une IA digne de confiance » qui fournissent un cadre d'éthique et de confiance pour l'utilisation de l'IA, mettant l'accent sur des principes tels que la transparence, la responsabilité, la robustesse technique, la vie privée et la gouvernance algorithmique.
Tout premier cadre juridique sur l’IA
Il est important de noter que, bien qu’elles soient appliquées aux cas d'utilisation de l'IA, ces réglementations existantes ne sont pas spécifiquement conçues pour l’intelligence artificielle. Cependant, le 21 avril 2021, la Commission européenne a présenté le projet de règlement sur l'intelligence artificielle, dans le but de garantir que les systèmes d'IA mis sur le marché dans l'UE sont sûrs et respectent les lois existantes sur les valeurs et les droits fondamentaux. À la suite de diverses réponses à cette proposition, une version de compromis de la législation sur l'IA a été approuvée par le Conseil européen le 6 décembre 2022. Le 14 juin 2023, le Parlement européen a voté pour adopter sa propre position de négociation sur l’IA, le vote final de laquelle est prévue fin 2023.
La législation sur l'IA propose un cadre réglementaire à plusieurs niveaux, fondé sur les risques liés à l'utilisation. Le niveau de risque le plus élevé est réservé à certaines utilisations de l'IA qui sont considérées comme posant un « risque inacceptable » pour la société, y compris des utilisations telles que la récupération d'images à partir des médias sociaux et d'autres sites pour construire des bases de données de reconnaissance faciale, la police prédictive et la reconnaissance des émotions dans des contextes gouvernementaux, éducatifs et professionnels. Ces utilisations sont purement et simplement interdites.
Les utilisations de l'IA considérées comme « à haut risque », telles que les utilisations dans l'aviation, les véhicules, les appareils médicaux et huit autres catégories spécifiquement énumérées, sont autorisées, mais soumises à une réglementation proportionnelle à leur niveau de risque. Les opérateurs devront enregistrer leurs systèmes d'IA dans une base de données européenne et seront soumis à de nombreuses exigences en matière de gestion des risques, de transparence, de surveillance humaine et de cybersécurité, entre autres.
Les utilisations de l'IA considérées comme présentant un « risque limité », telles que les systèmes qui interagissent avec les humains (comme les chatbots) et les systèmes d'IA susceptibles de produire des contenus « deepfake », seront soumises à un ensemble limité d'obligations en matière de transparence. Les utilisations de l'IA qui n'entrent dans aucune des catégories précédentes sont considérées comme présentant un « risque faible ou minimal »
Une fois adoptée, la législation sur l'IA aura un impact considérable sur les entités qui utilisent l'intelligence artificielle dans leurs activités. À l'instar du RGPD, elle s'appliquera de manière extraterritoriale aux fournisseurs qui mettent sur le marché ou mettent en service des systèmes d'IA dans l'Union européenne, que ces fournisseurs soient établis dans l'UE ou dans un pays tiers.
Prochaines procédures législatives
Avec son adoption par le Parlement européen le 14 juin 2023, la législation sur l'IA est entrée dans la phase de « trilogue » de la procédure législative de l'UE. Le trilogue implique des négociations informelles entre la Commission européenne, le Parlement européen et le Conseil européen afin de concilier les différences existantes dans les versions du texte sur l'IA adoptées par les organes et de s'accorder sur le texte final de la législation.
Une fois que les parties ont finalisé le texte législatif, celui-ci est documenté sous la forme d'un accord provisoire et est soumis pour approbation au Parlement européen et au Conseil européen en vue d'une adoption séparée et formelle. Après l'adoption formelle, la législation est publiée avec les dates de mise en œuvre et d'autres informations clés. Le calendrier du processus de trilogue peut varier considérablement en fonction de la complexité de la législation.
Autres initiatives notables
Outre le cadre juridique européen pour l’IA, la Commission européenne a proposé un cadre de responsabilité civile visant à adapter les règles de responsabilité à l’ère numérique et à l’IA, ainsi qu’une révision de la législation sectorielle en matière de sécurité (par exemple, règlement sur les machines, directive sur la sécurité générale des produits).
Le Conseil de l'Europe négocie actuellement une convention sur l'IA et les droits de l'homme, la démocratie et l'État de droit, qui devrait être conclue d'ici la fin de l'année.
Séparément, les nations du G7 ont exprimé dans un communiqué de presse un engagement en faveur de discussions internationales sur la gouvernance de l'IA, soulignant le rôle d'organismes mondiaux tels que le Partenariat mondial sur l'IA (GPAI) et l'Organisation de coopération et de développement économiques (OCDE). Le G7 travaillera avec le GPAI et l'OCDE pour mettre en place le processus d'Hiroshima sur l'IA, en organisant des discussions sur l'IA générative d'ici la fin de l'année.