TITRE IV - DISPOSITIONS D'ADAPTATION AU DROIT DE L'UNION EUROPÉENNE EN MATIÈRE DE CYBERSÉCURITÉ, DE SYSTÈMES D'INFORMATION ET DE NUMÉRIQUE
Les articles 24 à 32 ne répondent ni à une mise en demeure, ni à un avis motivé adressé à la France. Ils ne font suite à aucun contentieux.
I. ARTICLE 24 - RÈGLEMENT (UE) 2024/1689 SUR L'INTELLIGENCE ARTIFICIELLE
L'article 24 insère une référence au règlement sur l'intelligence artificielle (RIA)33(*) dans la loi pour la confiance dans l'économie numérique, en indiquant que tout système d'Intelligence artificielle est soumis aux dispositions dudit règlement et en renvoyant aux définitions de ce même règlement.
A. CADRAGE GÉNÉRAL
1. Historique des négociations
Le projet de règlement présenté par la Commission européenne le 21 avril 2021 visait à faire de l'Europe « le pôle mondial d'une intelligence artificielle digne de confiance ». Partant des constats que, d'une part, mal utilisée, l'intelligence artificielle (IA) pouvait aboutir à la violation de droits fondamentaux mais que, d'autre part, l'Europe souffrait d'un déficit d'investissement dans le domaine de l'IA, la proposition visait à la fois à protéger les citoyens européens et à stimuler les investissements et l'innovation dans l'IA.
Le 14 juin 2023, Le Parlement européen a adopté une position de négociation qu'il voulait conforme aux droits et valeurs de l'Union européenne, en axant son texte sur les questions de surveillance humaine, de sécurité, de protection de la vie privée, de transparence, de non-discrimination et de bien-être social et environnemental.
Ainsi, la position du Parlement suivait l'approche fondée sur les risques et établissait des obligations pour les fournisseurs et ceux déployant les systèmes d'IA en fonction du niveau de risque que l'IA était susceptible de générer. Un des ajouts majeurs de la position du Parlement est la prise en compte des systèmes d'IA à usage général, qui étaient les grands absents du texte de la Commission. Ainsi, le Parlement a introduit une obligation d'évaluation et d'atténuation des risques potentiels, reposant sur les fournisseurs, ainsi qu'une obligation d'enregistrement des modèles dans la base de données de l'Union européenne avant leur mise en circulation sur le marché européen.
En outre, les systèmes d'IA générative basés sur de tels modèles, comme ChatGPT, devraient respecter les exigences en matière de transparence, de garanties contre la génération de contenus illicites et de respect du droit d'auteur. Ainsi, des résumés détaillés des données protégées par le droit d'auteur utilisées pour la formation des IA devront être rendus publics.
Les négociations interinstitutionnelles, qui ont débuté le 18 juillet 2023, se sont révélées assez compliquées, tandis que, au sein même des États membres, les avis divergeaient sur certains points essentiels du texte. Le trilogue du 6 décembre 2023 fut conclusif, au bout de quarante heures de discussions.
Dans les principales dispositions du texte de compromis figurent :
· l'interdiction de certaines pratiques et applications, telles que les systèmes de catégorisation biométrique utilisant des caractéristiques sensibles, l'extraction non ciblée d'images faciales sur Internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale, la notation sociale basée sur le comportement social ou les caractéristiques personnelles ou encore les systèmes d'IA qui manipulent le comportement humain ou exploitent les vulnérabilités ;
· des exceptions limitées aux fins répressives, l'interdiction de l'utilisation de l'IA pour la reconnaissance faciale n'étant possible que pour l'utilisation des systèmes d'identification biométrique dans les espaces accessibles au public à des fins répressives, sous réserve d'une autorisation judiciaire préalable et dans des conditions strictement encadrées ;
· des obligations renforcées pour les systèmes à haut risque en raison de leur effet potentiel important, lesquels devront notamment inclure une analyse d'impact sur les droits fondamentaux ;
· des garde-fous, notamment en matière de protection des droits d'auteurs, puisque les systèmes à usage général ainsi que les modèles sur lesquels ils sont entraînés devront respecter des exigences de transparence, posant ainsi des garde-fous en matière de protection des droits d'auteur et de transparence en matière de contenu utilisé pour la formation des systèmes ;
· des mesures de soutien aux PME afin qu'elles soient en mesure de développer des solutions d'IA sans pression excessive de la part des géants de l'industrie. Pour cela, le texte promeut des « bacs à sable réglementaires » et des environnements réels, mis en place par les autorités nationales pour développer et tester une IA innovante avant sa mise sur le marché ;
· des sanctions en cas de non-respect des règles, pouvant entraîner des amendes allant de 7,5 millions d'euros ou 1,5 % du chiffre d'affaires à 35 millions d'euros ou 7 % du chiffre d'affaires mondial, en fonction de l'infraction et de la taille de l'entreprise.
Ce texte de compromis s'est révélé clivant, soulevant autant de soutiens que d'oppositions. Parmi les soutiens, le Commissaire européen d'alors, Thierry Breton, a salué un accord « équilibré » qui servira de « rampe de lancement » pour les entreprises européennes investies dans l'intelligence artificielle, estimant que les craintes des États avaient été entendues. La présidence espagnole du Conseil, quant à elle, avait souligné que le résultat présentait une vraie solidité juridique.
À l'inverse, de fortes critiques ont émané, notamment, de certains groupes d'intérêts mais aussi, du côté politique, du Président Emmanuel Macron, qui a déclaré que ce n'était « pas une bonne idée de réguler les modèles de fondation plus que les autres » pays, comme le Royaume-Uni. « Je demande qu'on évalue de manière régulière cette réglementation. Et si on perd des leaders ou des pionniers à cause de ça, il faudra y revenir ».
2. La position défendue par la France
Dans ce contexte complexe de négociations, la France a :
· demandé l'exclusion de la défense et de la sécurité nationale du champ du règlement. Il s'agissait d'une ligne rouge pour la France, et elle a obtenu gain de cause ;
· souhaité que des critères posés afin d'exclure qu'un système soit classifié comme à haut risque lorsqu'il ne pose pas de risque pour les individus soient suffisamment clairs et suffisamment larges. Ce point n'est pas encore complètement éclairci, ces critères demeurant ambigus et devant faire l'objet de lignes directrices ;
· demandé que la liste des pratiques interdites soit limitée au strict minimum, notamment pour les usages qui représentent un enjeu pour les forces et activités répressives. La France n'a pas complètement été entendue, le Règlement IA ayant fortement encadré certaines pratiques relevant de la biométrie ;
· pris position pour la possibilité de conduire des tests en conditions réelles, ce point a été obtenu ;
· souhaité que soit préservée la capacité des États membres, d'une part, d'adopter le schéma de gouvernance et, d'autre part, de désigner les autorités compétentes qu'ils veulent. Ce point n'a pas complètement partiellement obtenu ;
· milité pour une approche souple s'agissant des obligations de transparence, qui tiennent compte des capacités techniques actuelles et ne représentent pas une charge administrative additionnelle disproportionnée. Ce point n'a pas été obtenu ;
· s'est opposée à l'obligation de réalisation d'une étude d'impact sur les droits fondamentaux avant la mise en service des systèmes d'IA à haut risque. Elle s'est néanmoins montrée ouverte à ce qu'une telle étude soit prévue sous réserve qu'elle ne s'applique qu'au secteur public et non aux entreprises. Cette position de compromis est celle qui a été retenue dans le texte final ;
· demandé le maintien des délais d'entrée en vigueur prévus par l'orientation générale du Conseil, ce qu'elle a obtenu.
In fine, la France a salué l'adoption du Règlement IA. Toutefois, elle a indiqué qu'elle serait attentive à sa mise en oeuvre, afin que la régulation n'entrave pas le développement de l'innovation en Europe, mais au contraire qu'elle lui soit bénéfique.
* 33 Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l'intelligence artificielle).