Un nouveau règlement sur les systèmes d’IA à l’horizon 2023
La vision européenne de l’Intelligence artificielle publiée en février 2020 prônait déjà « une approche axée sur l’excellence et la confiance ». La proposition de réglementation sur l’IA présentée en avril 2021 par la Commission Européenne réaffirme cette volonté et l’importance stratégique de l’intelligence artificielle pour l’UE. Ce projet vise également a établir des règles communes et met l’accent sur l’évaluation des risques. Celui-ci devrait être adopté à l’horizon 2023.
La Commission Européenne souhaite par ce nouveau règlement concilier deux objectifs : instaurer plus de contrôles pour limiter les risques liés à l’IA et encourager l’expérimentation continue pour assurer le développement de l’innovation et faire en sorte que l’UE reste compétitive à l’international.
Entre droit et éthique, cette nouvelle réglementation anticipe les différents cas d’usage que l’IA pourrait mettre en lumière.
Cette réglementation ne s’appliquera pas, a priori, aux systèmes d’IA exclusivement conçus à des fins militaires (pour les pays de l’UE refusant toute ingérence en matière de sécurité nationale uniquement) ainsi qu’aux systèmes d’IA développés dans le seul but de la recherche et du développement scientifique.
Bien que ce nouveau règlement ne soit pas encore en vigueur puisque la consultation du Parlement est encore nécessaire, il est tout à fait envisageable (surtout pour les fournisseurs) d’entamer une première réflexion sur la mise en conformité et sur les sanctions encourues.
Identifier et évaluer les risques selon les domaines d’applications de l’IA
La Commission Européenne distingue différents types de risques :
- Les IA à risques inacceptables : ces IA seront interdites car considérées comme contraires aux valeurs de l’UE. Elles entrent dans le champ de la sécurité, des moyens de subsistance et des droits des personnes (violations des droits fondamentaux).
Seront interdits les systèmes d’IA qui :
- Utilisent des techniques subliminales en dessous du seuil de conscience d’un individu, pour altérer son comportement et pouvant lui (ou à un tiers) causer un préjudice physique ou psychologique.
- Exploitent la vulnérabilité liée à l’âge ou au handicap physique ou mental d’un groupe de personnes pour altérer le comportement d’un membre du groupe, pouvant lui (ou à un tiers) causer un préjudice physique ou psychologique.
- Reposent sur une logique de notation sociale (crédit social).
- Permettent une identification biométrique à distance en temps réel dans l’espace public à des fins répressives (sauf exceptions très encadrées).
L’amende administrative encourue pour la mise sur le marché d’une IA classée comme Risque Inacceptable pourra atteindre les 30 millions d’euros ou 6% du chiffre d’affaires annuel mondial total de l’entreprise.
- Les IA à hauts risques ou risques élevés : ces IA seront autorisées sur le marché européen sous réserve du respect de plusieurs obligations et d’une évaluation de leur conformité. Elles concernent les IA comme composants de sécurité de projets et les systèmes autonomes pouvant porter atteinte aux droits fondamentaux (dans l’éducation, la formation professionnelle, l’emploi, les ressources humaines, les services privés et publics essentiels, le maintien de l’ordre, la justice, les processus démocratiques…).
Les fournisseurs d’IA à risques élevés devront obligatoirement :
- Evaluer la conformité de leurs systèmes d’IA et démontrer l’application des normes.
- Gérer les risques avec un système de surveillance post-commercialisation documenté.
- Lutter contre les biais grâce à un système de surveillance, de détection et de correction des biais lié à une politique contraignante de gouvernance des données d’entraînement, de validation et de test sélectionnées selon des bonnes pratiques définies.
- Rédiger une documentation technique conforme aux exigences de la règlementation.
- Assurer une journalisation des événements pendant le fonctionnement du système.
- Informer les utilisateurs.
- Assurer une surveillance humaine via des interfaces homme-machine.
- Assurer la robustesse, la sécurité et l’exactitude des données.
- Informer et coopérer avec les autorités compétentes en cas d’incident grave ou de dysfonctionnement.
- Les IA à risques acceptables : celles-ci ne sont pas définies dans le projet de règlement. Néanmoins, on peut s’attendre à ce que des codes de conduite pour encourager les fournisseurs à appliquer des exigences supérieures soient mis en place.
- Les IA réglementées : le projet de règlement implique que les personnes interagissant avec un système d’IA ou voyant leurs émotions ou caractéristiques reconnues automatiquement en soient informées. On parle ici des systèmes d’IA :
- Qui interagissent avec des personnes physiques. Les utilisateurs devront avoir conscience qu’ils communiquent avec une entité artificielle.
- De reconnaissance des émotions et de catégorisation biométrique. Le recueil du consentement sera obligatoire.
- De Deep Fake (manipulation d’une image, d’un son ou d’une vidéo pour ressembler à des personnes, des choses ou d’autres entités ou événements pour générer du contenu pouvant être perçu, à tort, comme la réalité). Les utilisateurs devront être informés du contenu généré artificiellement (sauf si le système vise à détecter, prévenir, enquêter ou poursuivre des infractions pénales).
- Les IA à usage général : cette nouvelle catégorie n’entrera pas dans le champ d’application du règlement sauf si le système est utilisé sous une marque ou intégré dans un système soumis, lui, au règlement.
Comment anticiper la mise en conformité avec ce nouveau règlement sur l’IA ?
Afin d’anticiper la mise en conformité avec ce nouveau règlement européen sur l’intelligence artificielle, il est déjà possible de mettre en place ces quelques conseils pratiques :
- Établir la liste complète des produits et services basés sur un système d’IA, à usage interne ou externe dès qu’ils sont mis sur le marché ou en service.
- Déterminer en amont pour chaque système d’IA les rôles de chacun (fournisseur, importateur, utilisateur…) et les responsabilités (recours, garanties, dommages).
- Analyser chaque système d’IA identifié pour déterminer le type de risques associés.
- Mener des analyses d’impact avant d’engager des ressources sur un projet d’IA à risques inacceptables pour trouver des solutions alternatives et éthiques.
- Anticiper le format et le contenu des informations à transmettre aux utilisateurs.
- Réaliser des documentations détaillées et des guides pour faciliter l’usage des utilisateurs et prévenir des risques.
Cette nouvelle réglementation prévoit également un plan coordonné pour accélérer les investissements dans l’IA. Son financement est assuré par des programmes existants comme le Fonds pour une Europe Numérique ou Horizon Europe. Ce plan vise à :
- Créer les conditions propices au développement de l’IA;
- Favoriser l’excellence en matière d’IA et les partenariats publics-privés;
- Former de nouvelles compétences dans les technologies de l’IA;
- Etablir un « leadership technologique de l’Europe en matière d’IA » dans les secteurs vertueux.
Il est à noter que la Commission prévoit également le remplacement de la Directive « Machines » par un nouvel règlement sur les machines et équipements (robots, imprimantes 3D…) pour assurer une intégration plus sûre des systèmes d’IA tout en réduisant les charges financières et administratives.
