II. LA COMMISSION PROPOSE UN NOUVEAU CADRE JURIDIQUE HORIZONTAL POUR L'IA, FONDÉ SUR UNE APPROCHE PAR LE RISQUE ET REPOSANT SUR DES OBLIGATIONS DE CONFORMITÉ A PRIORI DES SYSTÈMES D'IA
A. LA PROPOSITION DE LÉGISLATION SUR L'IA REPOSE SUR UNE APPROCHE FONDÉE SUR LE RISQUE, AVEC DES OBLIGATIONS DIFFÉRENCIÉES SELON SON NIVEAU
La proposition de règlement sur l'intelligence artificielle repose sur une approche fondée sur le risque, en distinguant les systèmes d'IA qui génèrent un risque inacceptable (titre II), ceux qui génèrent un haut risque (titre III) et ceux dont l'utilisation présente un risque faible (titre IV). Les systèmes d'IA dits « à haut risque » font l'objet essentiel du règlement.
Cette nouvelle réglementation est conçue comme un instrument horizontal, qui pourra être complété par des réglementations spécifiques dans un certain nombre de secteurs.
1. Certaines pratiques d'IA seraient interdites
Certaines utilisations de l'IA, jugées particulièrement dangereuses, car contraires aux valeurs de l'Union européenne et susceptibles d'affecter gravement les droits fondamentaux, seraient interdites. Il s'agit des systèmes :
- qui influencent de manière subliminale les comportements ;
- qui exploitent les vulnérabilités dues à l'âge ou au handicap physique ou mental de l'utilisateur d'une manière susceptible de lui porter préjudice ;
- de notation sociale (uniquement lorsque ces systèmes seraient utilisés par ou pour le compte des pouvoirs publics) ;
- d'identification biométrique à distance en temps réel dans des espaces publics, à des fins répressives.
Dans ce dernier cas, le texte de la Commission prévoit néanmoins de exceptions : de tels systèmes d'identification biométrique pourraient être utilisés pour certains motifs spécifiques, tels que la recherche d'enfants disparus, la prévention d'une menace « spécifique, substantielle et imminente pour la vie ou la sécurité des personnes physiques » ou d'une attaque terroriste, ou dans des cas d'infractions pénales graves24(*). La possibilité de recourir à ces systèmes dans ces cas dérogatoires serait cependant subordonnée à l'autorisation d'un juge ou d'une autorité administrative indépendante, et soumise à des limitations dans le temps et dans l'espace. En outre, ces usages dérogatoires devraient préalablement avoir été autorisés par les législations nationales.
2. Certains systèmes d'IA jugés sensibles sans être à haut risque seraient soumis à des obligations de transparence renforcée
Sans être soumises aux mêmes obligations de conformité que les systèmes classés à haut risque, certaines catégories de systèmes d'IA, comme les systèmes d'IA destinés à interagir avec les personnes, ou à manipuler des images ou contenus audio ou vidéo (« deepfakes ») et les systèmes de reconnaissance des émotions ou de catégorisation biométrique, seraient soumises à des obligations de transparence renforcée vis-à-vis de l'utilisateur (titre IV, art. 52) : ce dernier devrait être informé qu'il interagit avec un système d'IA dans les deux premiers cas, et du fonctionnement du système dans les deux derniers cas.
3. Les systèmes d'IA jugés « à haut risque » seraient soumis à un certain nombre d'obligations spécifiques, visant à garantir leur mise sur le marché en toute sécurité
Aux termes du texte de la Commission européenne, constitueraient des systèmes d'IA « à haut risque », c'est-à-dire présentant un risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, tous les systèmes d'IA utilisés en tant que composants de sécurité de produits déjà couverts par une des législations harmonisées de l'Union sur la sécurité des produits (tels que les jouets, machines ou dispositifs médicaux)25(*) (titre III, chap. 6, art. 6).
En outre, pourraient être classés parmi les systèmes d'IA à haut risque d'autres systèmes d'IA autonomes appartenant à un nombre limitatif de domaines énumérés dans l'annexe III, à savoir : l'identification biométrique ; les infrastructures critiques ; l'éducation et la formation professionnelle ; l'emploi ; l'accès aux services publics (y compris les prestations sociales) et aux services privés essentiels ; la migration, l'asile et le contrôle aux frontières ; la justice et les processus démocratiques. De fait, si l'utilisation des technologies d'IA a d'abord concerné des activités jugées non-critiques, - comme l'optimisation de certains processus industriels, la détection anticipée de pannes, la segmentation de clientèle, ou les recommandations sur les réseaux sociaux -, d'une part, elle gagne à présent, à mesure que sa maturité augmente, des secteurs de plus en plus divers et critiques, d'autre part, certaines de ces activités non-critiques ont depuis été réévaluées, par exemple les recommandations sur les réseaux sociaux.
La classification des systèmes d'IA en systèmes « à haut risque » ne repose donc pas sur leur mode de fonctionnement et leurs fonctionnalités in abstracto, mais sur leur finalité et leurs modalités d'utilisation dans leur environnement.
Afin de garantir l'adaptabilité du règlement aux évolutions technologiques et d'usages ultérieures, la proposition prévoit que la Commission puisse, par le biais d'actes délégués, d'une part étendre la liste de ces systèmes classés « à haut risque »26(*), d'autre part, modifier les techniques et approches visées à l'annexe I pour définir les systèmes d'IA27(*). Pour rappel, aux termes de l'article 290 du TFUE, les actes délégués « complètent ou modifient certains éléments non essentiels de l'acte législatif ». S'agissant de la définition même de l'objet de la proposition de règlement, à savoir la définition des systèmes d'IA, les rapporteurs jugent donc inadéquat le recours à des actes délégués. Il semblerait préférable d'intégrer directement dans le texte du règlement la définition choisie, qui devra, comme celle proposée par la Commission, demeurer technologiquement neutre, afin de ne pas risquer de devenir rapidement obsolète. En l'absence de définition universellement acceptée des systèmes d'IA, les rapporteurs de la commission des affaires européennes proposent, ainsi qu'avancé par un certain nombre de leurs interlocuteurs, de reprendre la définition établie par l'Organisation de coopération et de développement économiques (OCDE)28(*). L'orientation générale du Conseil, adoptée le 25 novembre 2022, a d'ailleurs prévu la suppression de l'annexe I et, corrélativement, de la possibilité pour la Commission de modifier la définition de l'IA par actes délégués ultérieurement à l'entrée en vigueur du règlement.
* 24 Au sens de la décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres.
* 25 Les produits concernés et législations afférentes sont listés à l'annexe II de la proposition de règlement.
* 26 Les conditions de cette extension sont précisées à l'article 7 de la proposition. Les systèmes d'IA qui pourront être ajoutés à la liste des systèmes à haut risque devront notamment présenter un risque de préjudice pour la santé et la sécurité ou un risque d'incidence négative sur les droits fondamentaux équivalent ou supérieur au risque présenté par les systèmes d'IA déjà présents dans la liste de l'annexe III, au regard de la gravité et de la probabilité d'occurrence desdits risques.
* 27 Les systèmes d'IA sont définis à l'article 3 (1) de la proposition de règlement comme « un logiciel qui est développé au moyen d'une ou plusieurs des techniques et approches énumérées à l'annexe I et qui peut, pour un ensemble donné d'objectifs définis par l'homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit », l'annexe I visant, au titre des techniques et approches d'intelligence artificielle, les approches « d'apprentissage automatique, y compris d'apprentissage supervisé, non supervisé et par renforcement, utilisant une grande variété de méthodes, y compris l'apprentissage profond », « fondées sur la logique et les connaissances, y compris la représentation des connaissances, la programmation inductive (logique), les bases de connaissances, les moteurs d'inférence et de déduction, le raisonnement (symbolique) et les systèmes experts » incluant « les statistiques, estimation bayésienne, méthodes de recherche et d'optimisation ».
* 28 « Un système d'IA est un système qui fonctionne grâce à une machine et capable d'influencer son environnement en produisant des résultats (tels que des prédictions, des recommandations ou des décisions) pour répondre à un ensemble donné d'objectifs. Il utilise les données et les intrants générés par la machine et/ou apportés par l'homme afin de (i) percevoir des environnements réels et/ou virtuels ; (ii) produire une représentation abstraite de ces perceptions sous forme de modèles issus d'une analyse automatisée (ex. l'apprentissage automatisé) ou manuelle ; et (iii) utiliser les déductions du modèle pour formuler différentes options de résultats. Les systèmes d'IA sont conçus pour fonctionner de façon plus ou moins autonome. »