Le 21 avril 2021, la Commission européenne a publié un rapport très attendu proposition de règlement régissant l'intelligence artificielle (IA). La proposition a été rédigée par la Commission et ses conseillers et joue un rôle central dans le projet ambitieux de la Commission. Stratégie européenne pour les données.
Bien que la réglementation ait encore un long chemin à parcourir avant d'être finalisée, les entreprises doivent se préparer à une réglementation importante dans ce domaine. À travers cette alerte, Foley Hoag a l'intention de vous fournir les bases de la proposition, y compris les mesures que votre entreprise peut prendre dès maintenant pour se préparer aux types de changements qu'exigera cette réglementation.
Qui est concerné par la réglementation ?
Telles qu'elles sont rédigées, les règles proposées couvriront :
- les prestataires qui mettent sur le marché ou mettent en service des systèmes d’IA, que ces prestataires soient établis dans l’Union européenne ou dans un pays tiers ;
- les utilisateurs de systèmes d’IA dans l’UE ; et
- les fournisseurs et les utilisateurs de systèmes d’IA situés dans un pays tiers où les résultats produits par le système sont utilisés dans l’UE.
Comment la Commission définit-elle l’IA ?
Le terme « système d’IA » a une définition large : « un logiciel qui… peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent. »
Existe-t-il des types d'actions interdites par la proposition ?
Oui, la proposition énumère un certain nombre de pratiques d’IA interdites :
- Mise sur le marché, mise en service ou utilisation d'un système d'IA qui déploie des techniques subliminales au-delà de la conscience d'une personne pour déformer matériellement le comportement d'une personne de manière à causer à cette personne ou à une autre personne un préjudice physique ou psychologique.
- Mise sur le marché, mise en service ou utilisation d'un système d'IA par les pouvoirs publics ou pour leur compte pour l'évaluation ou la classification de la fiabilité des personnes physiques avec le score social conduisant à un traitement préjudiciable ou défavorable soit sans rapport avec les contextes dans lesquels les données ont été générées à l’origine ou sont injustifiées ou disproportionnées.
- Utilisation de systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives. Cette interdiction admet de larges exemptions soumises à des exigences spécifiques, notamment une autorisation judiciaire ou administrative préalable pour chaque utilisation individuelle.
La reconnaissance faciale est-elle couverte par la proposition ?
Oui, certaines utilisations policières des systèmes de reconnaissance faciale destinés aux espaces publics sont couvertes par les pratiques interdites en matière d’IA.
Quels sont les domaines sur lesquels porte principalement la proposition ?
La proposition se concentre sur les domaines « à haut risque » pour l’IA. Ceci comprend:
- Législation sur la sécurité des produits, telle que la législation européenne sur les machines, les jouets, les équipements sous pression ou les dispositifs médicaux.
- Systèmes d'IA utilisés pour l'identification biométrique et la catégorisation des personnes physiques, la gestion et l'exploitation des infrastructures critiques, l'éducation et la formation professionnelle, l'emploi, l'application de la loi, la migration, l'asile et le contrôle des frontières, ainsi que l'administration de la justice et les processus démocratiques.
Comment les entreprises devraient-elles aborder l’autorégulation de l’IA ?
Le projet de règlement adopte une approche de « développement par déploiement ». Cela signifie que les systèmes d’IA à haut risque sont soumis à un examen minutieux avant d’être mis sur le marché ou mis en service ainsi que tout au long de leur cycle de vie.
Quels protocoles ou systèmes les entreprises devraient-elles envisager pour que leur gouvernance de l’IA réponde aux références réglementaires ?
Les entreprises peuvent commencer dès maintenant à mettre en œuvre des processus de gouvernance interne. Selon le projet de règlement, les entreprises devraient envisager d'établir un système obligatoire de gestion des risques, des exigences strictes en matière d'utilisation et de gouvernance des données, des exigences en matière de documentation technique et de tenue de registres, ainsi que des exigences en matière de surveillance et de déclaration des incidents après commercialisation.
Comment les entreprises peuvent-elles répondre à ces exigences ?
Les entreprises devraient envisager des évaluations externes pour vérifier la conformité de l’IA. Le projet de règlement recommande une évaluation de la conformité réalisée soit par un tiers, soit par le prestataire lui-même. Les obligations de conformité au titre de la proposition peuvent affecter toutes les parties concernées : le fournisseur, l'importateur, le distributeur et l'utilisateur de l'IA.
Et la transparence ?
Les systèmes d’IA doivent être conçus et développés de manière à garantir la surveillance humaine.
En outre, le règlement contient des dispositions spéciales relatives à la transparence pour garantir que les gens sachent qu'ils ont affaire à un système d'IA, plutôt qu'à des processus décisionnels centrés sur l'humain.
Qui est responsable de l’application ?
La réglementation préexistante concernant l'IA, comme les lois françaises sur la reconnaissance faciale, devra être harmonisée avec la réglementation européenne lorsqu'elle sera adoptée.
S’il est adopté, le règlement sera appliqué par les États membres de l’UE. Mais à l’avenir, la proposition prévoit la création d’un comité européen de l’IA qui sera chargé : d’aider les autorités nationales de surveillance et la Commission à garantir l’application cohérente du règlement ; émettre des avis et des recommandations ; et la collecte et le partage des meilleures pratiques entre les États membres.
Le règlement, une fois adopté, entrera en vigueur 20 jours après sa publication au Journal Officiel. Les dispositions seront applicables 24 mois après cette date, créant ainsi un long délai de grâce pour tenir compte des innovations pouvant survenir entre la rédaction et l'adoption.
Que se passe-t-il ensuite ?
Le projet de règlement ne sera probablement pas adopté avant un certain temps, compte tenu de la complexité de l’IA et du nombre de nations et de parties prenantes impliquées. Le Parlement européen et le Conseil poursuivront l'examen et le débat, et envisageront des amendements.
Cependant, ce projet de règlement est susceptible de constituer la référence en matière d’IA éthique. En l’absence d’autres orientations, les entreprises doivent l’examiner attentivement afin de fournir une indication de l’évolution de la législation nationale et du consensus international sur les questions liées à l’IA.
__
Cet article a été initialement publié dans le bulletin d'information Foley Hoag. S'abonner ici.