La réglementation de l’intelligence artificielle (IA) dans l’Union européenne (UE), via le règlement sur l’IA (RIA), est essentielle car elle répond à divers défis en matière de santé, sécurité et droits fondamentaux. Le RIA est la première législation complète au monde sur l’IA, conçue pour protéger les utilisateurs, mais aussi pour garantir la démocratie, l’état de droit et la protection de l’environnement.

Les systèmes d’IA offrent un potentiel considérable pour l’innovation, la croissance économique et la compétitivité mondiale de l’UE. Cependant, les caractéristiques de certains systèmes d’IA peuvent entraîner des risques accrus, notamment pour la sécurité des utilisateurs, voire générer des risques systémiques. Ces risques sont souvent liés à l’opacité de certains modèles d’IA, qui peuvent engendrer une insécurité juridique, décourageant ainsi l’adoption de l’IA par les gouvernements, les entreprises et les citoyens.

En conséquence, une réglementation harmonisée permet de réduire les divergences entre les États membres et d’assurer le fonctionnement fluide du marché intérieur, tout en tenant compte des avantages et des risques liés à l’IA.

À qui s’applique le règlement sur l’intelligence artificielle ?

Le règlement sur l’IA s’applique aux acteurs publics et privés opérant dans ou en dehors de l’UE, à condition que les systèmes d’IA affectent des individus dans l’Union ou soient mis sur le marché de l’UE. Cette réglementation concerne tant les fournisseurs (développeurs d’outils IA) que les déployeurs (utilisateurs de ces systèmes, comme une banque qui utilise un outil IA pour l’analyse des CV).

Les activités de recherche et de développement, ainsi que les systèmes utilisés à des fins militaires ou de sécurité nationale, sont exemptés du champ d’application du règlement.

Quelles sont les catégories de risques ?

Le RIA introduit un cadre structuré fondé sur quatre niveaux de risques pour l’IA :

1. Risque inacceptable : Ce niveau inclut des utilisations de l’IA jugées contraires aux valeurs de l’UE et aux droits fondamentaux. Parmi ces pratiques interdites :

• L’exploitation des vulnérabilités des personnes.
• La notation sociale à des fins publiques ou privées.
• La police prédictive basée uniquement sur le profilage.
• Le moissonnage d’images pour la reconnaissance faciale.
• La reconnaissance des émotions dans des contextes spécifiques, sauf exceptions médicales ou de sécurité.

1. Risque élevé : Les systèmes d’IA classés à haut risque sont ceux qui peuvent affecter la sécurité ou les droits fondamentaux des individus. Ces systèmes incluent, par exemple, des outils pour l’éducation, l’emploi, la santé ou les services répressifs. Les systèmes de profilage et ceux utilisés pour évaluer la solvabilité des individus figurent également dans cette catégorie.
2. Obligations de transparence : Certaines applications IA doivent respecter des exigences spécifiques en matière de transparence, notamment pour les systèmes IA utilisés pour interagir avec des individus (comme les chatbots) ou générer des contenus audio/vidéo (deepfakes).
3. Risque minimal : La majorité des systèmes d’IA présentent un risque faible et ne sont soumis à aucune obligation supplémentaire en dehors des lois existantes.

Comment savoir si un système d’IA présente un risque élevé ?

Le RIA adopte une méthode claire pour classer les systèmes d’IA en fonction de leur fonctionnalité et de leur but. Par exemple, un système d’IA à haut risque peut inclure un composant de sécurité dans un produit (comme un logiciel médical) ou être destiné à des cas d’utilisation spécifiques (éducation, migration, répression). La classification des risques repose sur la législation existante de l’UE en matière de sécurité des produits.

Exemples de cas d’utilisation à haut risque

Parmi les cas d’utilisation à haut risque définis à l’annexe III du RIA, on trouve :

• Les systèmes d’IA utilisés dans les infrastructures critiques (eau, énergie).
• Ceux utilisés dans l’éducation et l’emploi (évaluation des candidats, orientation des apprentissages).
• Les systèmes utilisés pour déterminer l’accès aux services publics essentiels ou pour évaluer la solvabilité et le risque d’assurance.

Quelles sont les obligations des fournisseurs de systèmes d’IA à haut risque ?

Les fournisseurs de systèmes d’IA à haut risque doivent effectuer une évaluation de conformité avant de les mettre sur le marché. Cette évaluation permet de garantir que le système répond aux critères de transparence, de sécurité et de respect des droits fondamentaux. De plus, ils doivent mettre en place des systèmes de gestion des risques pour surveiller la sécurité après commercialisation et signaler tout incident majeur.

Comment les modèles d’IA à usage général sont-ils réglementés ?

Les modèles d’IA à usage général (comme les grands modèles de langage) sont soumis à des obligations spécifiques. Ces modèles, utilisés dans diverses applications, doivent respecter des exigences en matière de transparence, de cybersécurité et d’atténuation des risques systémiques.

Le seuil de puissance pour ces modèles est fixé à 10^25 FLOPS, au-delà duquel des obligations supplémentaires s’appliquent.

Quelles sont les obligations relatives au marquage en filigrane et à l’étiquetage des contenus générés par l’IA ?

Le RIA impose des règles de transparence concernant les contenus produits par l’IA, notamment pour les deepfakes. Les systèmes d’IA générative doivent indiquer que les contenus ont été générés par une machine et marqués en filigrane pour éviter toute manipulation ou désinformation.

Comment le règlement sur l’IA traite-t-il le problème des biais dans l’IA ?

Le RIA impose des exigences pour s’assurer que les systèmes d’IA sont robustes, limitant ainsi les biais potentiels. Les systèmes d’IA à haut risque doivent être formés à partir de données représentatives pour éviter toute discrimination, notamment en matière de genre ou d’origine ethnique.

Quand le règlement sur l’IA sera-t-il pleinement applicable ?

Le RIA sera pleinement applicable à partir du 2 août 2026, après une phase transitoire qui commencera en février 2025 avec l’entrée en vigueur des premières interdictions. D’autres règles, telles que celles concernant les modèles d’IA à usage général, entreront en vigueur à partir d’août 2025.

Comment la CNIL prend-elle en compte le RIA ?

La CNIL continue de faire appliquer le RGPD tout en intégrant les exigences du RIA pour garantir une conformité complète dans le cadre des systèmes d’IA traitant des données personnelles. Elle contribue également à l’élaboration des normes harmonisées au niveau européen, facilitant l’adoption des nouvelles règles.

RIA et RGDP (Source : CNIL)

Le 16 juillet 2024, le Comité européen de la protection des données (CEPD) a publié une déclaration clarifiant le rôle que les autorités de protection des données entendent jouer dans l’application du règlement européen sur l’IA (RIA), qui a été publié au Journal officiel de l’Union européenne le 12 juillet et qui entrera en vigueur le 1er août 2024.

Contexte et enjeux

Lors de cette dernière session plénière, les autorités de protection des données ont adopté une position commune concernant leur rôle dans la mise en œuvre du RIA. Ce règlement prévoit la désignation d’une ou plusieurs autorités de surveillance du marché, mais il laisse chaque État membre libre de choisir quelle(s) autorité(s) rempliront cette fonction avant la date limite du 2 août 2025.

Les autorités de protection des données européennes ont souligné leur expertise déjà éprouvée dans l’évaluation de l’impact de l’IA sur les droits fondamentaux, et plus particulièrement sur la protection des données personnelles. Elles estiment qu’elles sont naturellement qualifiées pour être désignées comme autorités de surveillance pour un certain nombre de systèmes d’IA à haut risque.

Cette désignation permettrait une coordination fluide entre les différentes autorités nationales, tout en assurant une cohérence entre le RIA et le RGPD. À ce titre, la CNIL fait figure de pionnière, avec un service d’experts dédié aux questions d’IA et un plan d’action global visant à favoriser le déploiement de systèmes IA vertueux.

Recommandations du CEPD

Dans sa déclaration, le CEPD a formulé plusieurs recommandations clés :

1. Désignation des autorités de protection des données : Comme le suggère déjà le RIA, ces autorités devraient être désignées comme autorités de surveillance du marché pour les systèmes d’IA à haut risque dans des secteurs sensibles tels que :

• L’identification biométrique, la catégorisation biométrique et la reconnaissance des émotions, notamment dans les domaines répressifs, la gestion des frontières, ainsi que dans les processus de justice et de démocratie.
• Les systèmes liés à la répression, à la migration, aux demandes d’asile et à la gestion des contrôles aux frontières.
• L’administration de la justice et les processus démocratiques.

1. Extension à d’autres systèmes à haut risque : Les autorités de protection des données devraient également être désignées pour surveiller d’autres systèmes d’IA à haut risque susceptibles de porter atteinte aux droits et libertés fondamentaux, en particulier dans le cadre du traitement des données personnelles.
2. Point de contact unique : Les autorités de protection des données devraient devenir des points de contact uniques pour les citoyens ainsi que pour leurs homologues au sein des États membres et de l’UE.
3. Coopération renforcée : Le CEPD recommande la mise en place de procédures claires pour une coopération étroite entre les autorités de surveillance du marché et les autres autorités nationales compétentes. Il souligne également l’importance d’une collaboration efficace entre le Bureau de l’IA de la Commission européenne, les autorités de protection des données et le CEPD lui-même.