Le Parlement européen et les États membres devront adopter prochainement les propositions de la Commission relatives aux règles encadrant l’intelligence artificielle (adoption d’un Règlement sur l’IA) et aux machines (abrogation de la Directive « Machines » n° 2006/42/CE du 17 mai 2006 et mise en place d’un Règlement « Machines ») dans le cadre de la procédure législative ordinaire.  Une fois adoptés, les règlements européens seront directement applicables dans l’ensemble de l’UE.

Stratégie européenne pour une IA maîtrisée 

À la suite de la publication de la stratégie européenne en matière d’intelligence artificielle en 2018, le groupe d’experts UE sur l’intelligence artificielle a élaboré des lignes directrices pour une IA digne de confiance ; parallèlement, le premier plan coordonné sur l’IA a été publié en décembre 2018 dans le cadre d’un engagement commun avec les États membres.

Le livre blanc de la Commission européenne sur l’IA, publié en 2020, accompagné d’un «rapport sur les conséquences de l’intelligence artificielle, de l’internet des objets et de la robotique sur la sécurité et la responsabilité», concluait que la législation actuelle sur la sécurité des produits présente un certain nombre de lacunes qu’il convient de combler, notamment par l’abrogation de la directive « Machines » et l’adoption d’un Règlement sur l’IA.

Le nouveau règlement sur l’IA

Le nouveau règlement sur l’IA posera les règles, fondées sur une définition de l’IA à l’épreuve du temps et fondées sur les risques suivants :

Risque inacceptable: Les systèmes d’IA considérés comme une menace évidente pour la sécurité, les moyens de subsistance et les droits des personnes seront interdits. Il s’agit notamment des systèmes ou applications d’IA qui manipulent le comportement humain pour priver les utilisateurs de leur libre arbitre (par exemple, des jouets utilisant une assistance vocale incitant des mineurs à avoir un comportement dangereux) et des systèmes qui permettent la notation sociale par les États.

Risque élevé : Parmi les systèmes d’IA considérés comme à haut risque, on peut citer:

• les technologies d’IA qui sont utilisées dans les infrastructures critiques (par exemple les transports) et sont susceptibles de mettre en danger la vie et la santé des citoyens;

• les technologies d’IA utilisées dans l’éducation ou la formation professionnelle, qui peuvent déterminer l’accès à l’éducation et le parcours professionnel d’une personne (par exemple, la notation d’épreuves d’examens);

• les technologies d’IA utilisées dans les composants de sécurité des produits (par exemple, l’application de l’IA dans la chirurgie assistée par robot);

• les technologies d’IA utilisées dans le domaine de l’emploi, de la gestion de la main d’œuvre et de l’accès à l’emploi indépendant (par exemple, les logiciels de tri des CV pour les procédures de recrutement);

• les technologies d’IA utilisées dans les services privés et publics essentiels (par exemple, l’évaluation du risque de crédit, qui prive certains citoyens de la possibilité d’obtenir un prêt);

• les technologies d’IA utilisées dans le domaine du maintien de l’ordre, qui sont susceptibles d’interférer avec les droits fondamentaux des personnes (par exemple, la vérification de la fiabilité des éléments de preuve);

• les technologies d’IA utilisées dans le domaine de la gestion de la migration, de l’asile et des contrôles aux frontières (par exemple, la vérification de l’authenticité des documents de voyage);

• les technologies d’IA utilisées dans les domaines de l’administration de la justice et des processus démocratiques (par exemple, l’application de la loi à un ensemble concret de faits).

Les systèmes d’IA à haut risque devront être conformes à obligations strictes pour pouvoir être mis sur le marché:

• systèmes adéquats d’évaluation et d’atténuation des risques;

• qualité élevée des ensembles de données alimentant le système afin de réduire au minimum les risques et les résultats ayant un effet discriminatoire;

• enregistrement des activités afin de garantir la traçabilité des résultats;

• documentation détaillée fournissant toutes les informations nécessaires sur le système et sur sa finalité pour permettre aux autorités d’évaluer sa conformité;

• informations claires et adéquates à l’intention de l’utilisateur;

• contrôle humain approprié pour réduire au minimum les risques;

• niveau élevé de robustesse, de sécurité et d’exactitude.

La classification des risques repose sur la finalité assignée au système d’IA, conformément à la législation existante de l’UE en matière de sécurité des produits. Cela signifie que cette classification dépend de la fonction exécutée par le système d’IA, ainsi que du but spécifique dans lequel le système est utilisé et des modalités de cette utilisation.

Les critères de classification comprennent le degré d’utilisation de l’application d’IA et la finalité qui lui est assignée, le nombre de personnes sur lesquelles elle est susceptible d’avoir une incidence, la dépendance à l’égard des résultats et l’irréversibilité des dommages, ainsi que la mesure dans laquelle la législation actuelle de l’Union prévoit déjà des mesures efficaces pour prévenir ou réduire sensiblement ces risques.

Une liste recensant certains domaines critiques permet de clarifier le classement en indiquant quelles sont ces applications dans les domaines de l’identification et de la catégorisation biométriques, des infrastructures critiques, de l’éducation, du recrutement et de l’emploi, de la fourniture de services publics ou privés importants ainsi que dans ceux du maintien de l’ordre, de l’asile et de la migration et de la justice.

La classification des risques repose sur la finalité assignée au système d’IA, conformément à la législation existante de l’UE en matière de sécurité des produits. Cela signifie que cette classification dépend de la fonction exécutée par le système d’IA, ainsi que du but spécifique dans lequel le système est utilisé et des modalités de cette utilisation.

Les critères de classification comprennent le degré d’utilisation de l’application d’IA et la finalité qui lui est assignée, le nombre de personnes sur lesquelles elle est susceptible d’avoir une incidence, la dépendance à l’égard des résultats et l’irréversibilité des dommages, ainsi que la mesure dans laquelle la législation actuelle de l’Union prévoit déjà des mesures efficaces pour prévenir ou réduire sensiblement ces risques.

Une liste recensant certains domaines critiques permet de clarifier le classement en indiquant quelles sont ces applications dans les domaines de l’identification et de la catégorisation biométriques, des infrastructures critiques, de l’éducation, du recrutement et de l’emploi, de la fourniture de services publics ou privés importants ainsi que dans ceux du maintien de l’ordre, de l’asile et de la migration et de la justice.

Une liste des cas d’utilisation que la Commission juge actuellement à haut risque est annexée à la proposition. La Commission fera en sorte que la liste des cas d’utilisation à haut risque soit pertinente et tenue à jour, en s’appuyant sur les critères mentionnés plus haut et sur des éléments probants et des avis d’experts dans le cadre d’une large consultation des parties prenantes.

Autorisation des systèmes d’IA 

En particulier, les systèmes d’identification biométrique à distance fondés sur l’IA sont considérés comme à haut risque et sont donc soumis à des exigences strictes. Leur utilisation en temps réel dans l’espace public aux fins du maintien de l’ordre est en principe interdite. Il existe des exceptions restreintes à ce principe, qui sont strictement définies et réglementées (par exemple, lorsque cela est strictement nécessaire pour rechercher un enfant disparu, prévenir une menace terroriste spécifique et imminente ou détecter, localiser, identifier ou poursuivre l’auteur ou le suspect d’une infraction pénale grave).

L’utilisation de ces systèmes doit alors être autorisée par une instance judiciaire ou un autre organe indépendant et est soumise à des limitations appropriées concernant la durée, la portée géographique et les bases de données consultées.

Les systèmes d’IA à risque limité sont soumis à des obligations spécifiques en matière de transparence. A titre d’exemple, lorsqu’ils utilisent des systèmes d’IA tels que des chatbots, les utilisateurs doivent savoir qu’ils interagissent avec une machine afin de pouvoir décider en connaissance de cause de poursuivre ou non.

Les systèmes d’IA à risque minime sont libres. Il s’agit d’applications telles que les jeux vidéo ou les filtres anti-spam. La grande majorité des systèmes d’IA relèvent de cette catégorie. Le projet de règlement ne prévoit pas d’intervention dans ce domaine, car ces systèmes ne représentent qu’un risque minime, voire nul, pour les droits ou la sécurité des citoyens.

Gouvernance de l’IA

En ce qui concerne la gouvernance, la Commission propose que les autorités nationales compétentes de surveillance du marché veillent au respect des nouvelles règles dont la mise en œuvre sera facilitée par la création d’un comité européen de l’intelligence artificielle qui sera également chargé de stimuler l’élaboration de normes pour l’IA.

En outre, la proposition de Règlement prévoit des codes de conduite facultatifs pour les systèmes d’IA ne présentant pas de risque élevé, ainsi que des «bacs à sable réglementaires» afin de faciliter l’innovation responsable.

Soutien financier à l’IA 

Le plan coordonné de l’UE utilise les fonds alloués au titre du programme pour une Europe numérique et d’Horizon Europe, ainsi que de la facilité pour la reprise et la résilience, qui prévoit de consacrer 20 % des dépenses au numérique, et des programmes relevant de la politique de cohésion pour:

• créer les conditions propices au développement de l’IA et à son adoption par l’échange d’éclairages stratégiques, le partage de données et l’investissement dans des capacités de calcul critiques;

• favoriser l’excellence en matière d’IA «du laboratoire au marché» en mettant en place un partenariat public-privé, en constituant et en mobilisant des capacités de recherche, de développement et d’innovation, et en mettant à la disposition des PME et des administrations publiques des installations d’essai et d’expérimentation ainsi que des pôles d’innovation numérique;

• faire en sorte que l’IA soit au service des citoyens et constitue une force positive pour la société. Pour ce faire, il faut être à l’avant-garde du développement et du déploiement d’une IA digne de confiance, cultiver les talents et les compétences par la promotion des stages, des réseaux de doctorat et des bourses post-doctorales dans les disciplines numériques, intégrer la confiance dans les politiques en matière d’IA et promouvoir la vision européenne d’une IA durable et digne de confiance à l’échelle mondiale;

• établir un leadership stratégique dans les secteurs et les technologies à fort impact, notamment l’environnement, en mettant l’accent sur la contribution qu’apporte l’IA à la production durable, mais aussi à la santé, en élargissant l’échange transfrontière d’informations, ainsi qu’au secteur public, à la mobilité, aux affaires intérieures et à l’agriculture, et à la robotique.

Abrogation de la directive Machines

La Directive « Machines » sera remplacée par le nouveau règlement sur les machines et équipements avec une nouvelle définition des exigences en matière de santé et de sécurité dans le secteur des machines.

L’expression « machines et équipements » couvre un large éventail de produits destinés aux particuliers ou aux professionnels allant des robots aux lignes de production industrielle en passant par les tondeuses à gazon, les imprimantes 3D et les engins de chantier.

Ce nouveau règlement relatif aux machines garantira que les machines de nouvelle génération visent à offrir toute la sécurité requise aux utilisateurs et aux consommateurs et encouragera l’innovation. Alors que le règlement sur l’IA traitera des risques liés à la sécurité que présentent les systèmes d’IA, le nouveau règlement sur les machines garantira une intégration sûre des systèmes d’IA dans les machines. Les entreprises ne devront procéder qu’à une seule évaluation de la conformité.

En outre, le nouveau règlement sur les machines et équipements répondra aux besoins du marché en apportant une plus grande clarté juridique aux dispositions actuelles, en réduisant la charge administrative et les coûts pour les entreprises grâce à l’autorisation de la documentation au format numérique et en adaptant les frais d’évaluation de la conformité pour les PME, tout en garantissant la cohérence avec le cadre législatif de l’UE applicable aux produits.

Obligations des fournisseurs de systèmes d’IA à haut risque

Avant qu’un fournisseur puisse mettre un système d’IA à haut risque sur le marché de l’UE ou le mettre en service d’une autre manière, ce système doit faire l’objet d’une évaluation de la conformité.

Les fournisseurs pourront ainsi démontrer que leur système est conforme aux exigences obligatoires relatives à une IA digne de confiance (par exemple, la qualité des données, la documentation et la traçabilité, la transparence, le contrôle humain, l’exactitude et la robustesse). En cas de modification substantielle du système lui-même ou de sa finalité, l’évaluation devra être effectuée à nouveau.

Pour certains systèmes d’IA, un organisme notifié indépendant devra également intervenir dans ce processus. Les systèmes d’IA constituant des composants de sécurité de produits couverts par une législation sectorielle de l’UE seront toujours considérés comme à haut risque dès lors qu’ils font l’objet d’une évaluation de la conformité réalisée par un tiers en vertu de cette législation sectorielle. Pour les systèmes d’identification biométrique également, une évaluation de la conformité par un tiers est toujours requise

Les fournisseurs de systèmes d’IA à haut risque devront également mettre en œuvre des systèmes de gestion de la qualité et des risques afin de garantir qu’ils respectent les nouvelles exigences et de réduire au minimum les risques pour les utilisateurs et les personnes concernées, même après qu’un produit a été mis sur le marché.

Les autorités de surveillance du marché contribueront à la surveillance des produits après leur mise sur le marché au moyen d’audits et en offrant aux fournisseurs la possibilité de signaler les incidents graves ou les manquements aux obligations en matière de droits fondamentaux dont ils viendraient à avoir connaissance.

Les sanctions en cas d’infraction

En cas de mise sur le marché ou d’utilisation de systèmes d’IA qui ne respectent pas les exigences du Règlement, les États membres devront prévoir des sanctions effectives, proportionnées et dissuasives, notamment des amendes administratives, s’il y a infraction, et les communiquer à la Commission.

Le règlement fixe des seuils qui doivent être pris en compte:

Jusqu’à 30 millions d’EUR ou 6 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent (le montant le plus élevé étant retenu) pour les infractions correspondant à des pratiques interdites ou à un non-respect des exigences relatives aux données;

Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas de non-respect d’une des autres exigences ou obligations prévues par le règlement;

Jusqu’à 10 millions d’EUR ou 2 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent si des informations inexactes, incomplètes ou trompeuses ont été fournies aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande.

Afin d’harmoniser les règles et pratiques nationales en matière de fixation des amendes administratives, la Commission compte pouvoir s’appuyer sur l’avis du comité pour élaborer des lignes directrices.

Le Contrôleur européen de la protection des données aura le pouvoir de leur infliger des amendes.