C. LA GOUVERNANCE DOIT SE FONDER SUR DES AUTORITÉS NATIONALES CLAIREMENT IDENTIFIÉES ET SUR UN COMITÉ EUROPÉEN RENFORCÉ, TRAVAILLANT DE CONCERT
1. Les autorités nationales et européennes doivent se donner les moyens de contrôler efficacement la mise en oeuvre du règlement
Le contrôle de la mise en oeuvre du règlement pose la question sous-jacente de l'articulation des rôles entre la Commission et les autorités nationales. Pour les rapporteurs de la commission des affaires européennes, deux écueils principaux sont à éviter s'agissant du mode de gouvernance retenu : une concentration excessive des pouvoirs au sein de la Commission, et une distribution trop importante des prérogatives dans chaque État membre, ces deux scénarios étant peu compatibles avec une régulation efficace du secteur.
En accord avec l'EDPB et l'EDPS, les rapporteurs de la commission des affaires européennes recommandent la désignation de la CNIL comme autorité nationale compétente pour la surveillance de l'application du règlement sur l'IA, compte tenu de l'expertise acquise par cette dernière dans la régulation des systèmes d'IA impliquant des données à caractère personnel, majoritaires parmi ceux concernés par la proposition de règlement. Une telle désignation aurait en outre l'avantage d'offrir un cadre cohérent aux professionnels du numérique, en identifiant un interlocuteur unique, permettant une régulation sectorielle fluide avec les différents acteurs impliqués.
Les rapporteurs soulignent néanmoins que, pour remplir efficacement ces nouvelles missions de surveillance, la CNIL devrait bénéficier d'un renforcement progressif de ses ressources humaines, impliquant notamment le recrutement d'ingénieurs spécialisés en IA et de juristes en droit des nouvelles technologies.
Au terme de l'article 65 de la proposition de règlement, le contrôle de l'application du règlement IA est une prérogative détenue exclusivement par l'autorité de surveillance de marché, à qui revient l'initiative de procéder à l'évaluation des systèmes présentant un risque pour la santé, la sécurité ou les droits fondamentaux, ou susceptibles de présenter un tel risque, afin d'inviter le cas échéant l'opérateur à prendre des mesures correctives, voire à retirer le système du marché.
Dans le cadre de ses activités, l'autorité de surveillance se voit garantir un droit d'accès aux données et à la documentation, y compris au code source lorsque cet accès est nécessaire pour évaluer la conformité d'un système au règlement (art. 64), l'article 70 précisant que ces droits d'accès s'entendent dans le respect des droits de la propriété intellectuelle. À cet égard, les rapporteurs estiment qu'il serait opportun d'expliciter que le respect de la propriété intellectuelle et le secret des affaires impliquent une obligation, de la part des autorités de régulation, de non-divulgation des données dont elles ont ainsi connaissance, et non un droit d'opposition des entreprises concernées à l'accès des autorités de régulation aux données.
Enfin, l'article 64 prévoit la possibilité, pour les autorités chargées de la protection des droits fondamentaux au titre du règlement de présenter aux autorités nationales de contrôle une demande motivée d'organiser des tests sur les systèmes d'IA à haut risque, si la documentation produite ne suffit pas à caractériser les violations des obligations au titre du droit de l'Union visant à protéger les droits fondamentaux. Les rapporteurs considèrent que le recours à ce type de tests organisés sur saisine de l'autorité de contrôle pourrait avantageusement être facilité, dans le but de garantir une protection plus effective des droits fondamentaux des citoyens.
2. Le Comité européen de l'intelligence artificielle devrait être renforcé, notamment en vue de pouvoir accompagner la Commission européenne dans une réflexion prospective sur les futures évolutions du règlement
Cheville ouvrière de l'application du règlement IA, le Comité européen de l'intelligence artificielle ne pourra remplir ses fonctions d'assistance aux États membres et de conseil à la Commission que s'il parvient à asseoir sa légitimité dans le secteur de l'IA.
À cet égard, les rapporteurs soutiennent les évolutions apportées par les États membres à la composition du Comité afin de renforcer son autonomie. Alors que dans la proposition initiale de la Commission, le Comité devait être composé des autorités de contrôle nationales et du Contrôleur européen de la protection des données (CEPD) sous présidence de la Commission, il intègre dans la version du Conseil, des représentants des États membres ainsi que des experts, le CEPD et la Commission ne se voyant plus octroyer qu'un rôle d'observateur (art. 56).
Pour les rapporteurs, cette nouvelle architecture constitue également un gage de cohérence et de coordination dans l'application du règlement IA. En effet, la création d'un sous-groupe permanent constitué d'experts, destiné à assister les États membres, a vocation à pallier les capacités et compétences insuffisantes de certains de ces États en matière d'IA, de façon à garantir une mise en oeuvre effective et uniforme du règlement. Les rapporteurs approuvent par ailleurs les modifications du Conseil tendant à étendre les compétences consultatives du Comité, et lui confiant notamment à ce titre la tâche de conseiller la Commission lors de la préparation des actes délégués ou des actes d'exécution pris en vertu du règlement sur l'IA. L'orientation générale du Conseil prévoit également que le Comité soit systématiquement consulté sur la nécessité éventuelle de modifier l'annexe III listant les systèmes d'IA à haut risque, pour que soient pris en compte les éléments de preuve disponibles et les dernières évolutions technologiques (art. 58, d). Les rapporteurs soutiennent pleinement cette disposition, permettant de garantir le caractère collégial et documenté des modifications qui devront inévitablement être apportées à l'annexe III.
Les rapporteurs estiment par ailleurs que le rôle prospectif du Comité gagnerait à être renforcé. À cet égard, ils sont favorables à ce que le Comité se voie explicitement accorder la possibilité de s'autosaisir de toute question pertinente en lien avec l'application du règlement sur l'IA, afin de formuler des recommandations ou des avis sans saisine préalable de la Commission. La reconnaissance d'un tel droit d'initiative constituerait un gage fort d'autonomie pour le Comité sur l'IA.
Enfin, il pourrait être opportun de densifier les liens du Comité avec les diverses autorités nationales compétentes et l'ensemble des acteurs de l'IA, afin de garantir une bonne intégration de cette nouvelle instance dans l'écosystème existant et de conforter sa légitimité à l'échelle de l'Union. À titre d'exemple, il semblerait envisageable de recourir à des consultations périodiques associant toutes les parties prenantes (organisations de la société civile, entreprises, industriels, chercheurs, laboratoires, etc.) autour d'une thématique spécifique.