La proposition de règlement européen dédié à l’intelligence artificielle encourage l’éthique des affaires
Après avoir instauré un modèle européen de la gouvernance de la donnée, avec notamment le RGPD, et mené des travaux et consultations en concertation avec toutes les parties prenantes de l’intelligence artificielle (IA) depuis 2018, la Commission européenne dévoile une proposition de cadre juridique innovant dédié aux pratiques de l’IA combinant droit, normes, éthique et mise en conformité. L’ambition est clairement affichée : asseoir un modèle européen de l’IA « sûre, fiable et éthique1 » qui parviendrait à assurer un juste équilibre entre les droits et libertés des individus d’une part, et le soutien à l’innovation et la compétitivité technologique de nos entreprises européennes d’autre part. Analyse de la proposition de règlement établissant des règles harmonisées concernant l’IA2.
Un règlement plutôt qu’une directive pour une application uniforme et à portée extraterritoriale. À l’instar du RGPD, la Commission européenne a choisi l’instrument du règlement, et non de la directive, afin de garantir une application à effet direct et aussi uniforme que possible des nouvelles règles au sein de l’Union européenne (UE). La réglementation aura une portée extraterritoriale et s’appliquera ainsi à tous les sujets, fournisseurs et utilisateurs, qu’ils soient établis ou non au sein de l’UE, dès lors que le système d’IA sera mis sur le marché européen ou le résultat produit par le système sera utilisé au sein de l’UE.
Une définition de l’IA nécessairement évolutive, évaluée en fonction du risque que le système peut générer pour les droits humains
La proposition de règlement fait tout d’abord, et c’est heureux, le choix d’une définition évolutive de l’IA afin de le rendre applicable au plus grand nombre de systèmes et de « résister à l’épreuve du temps, en tenant compte de l’évolution rapide des technologies et du marché de l’IA »3. Trois niveaux de risques sont retenus : (i) les systèmes présentant un risque inacceptable sont interdits, car jugés incompatibles avec les valeurs de l’UE, tels que les systèmes axés sur le conditionnement du comportement humain par l’utilisation de techniques subliminales ou encore l’exploitation de la vulnérabilité ou la surveillance de masse par système biométrique à des fins répressives ; (ii) les systèmes présentant un risque élevé, tels que les systèmes destinés à être utilisés pour le recrutement ou la sélection du personnel, seront soumis au respect de certaines obligations et d’évaluation préalable de conformité avant leur mise sur le marché ; (iii) les systèmes présentant un risque faible ou minimal, tels que les chatbots, bénéficieront d’obligations de conformité allégées comme l’établissement de codes de conduite. Le droit devant ici être agile, les listes d’évaluation des risques des systèmes seront régulièrement révisées. La proposition adopte ainsi une approche ex-ante, basée sur la prévention, l’identification et la gestion des risques. Les règles sont essentiellement axées sur des obligations de conformité, de vigilance, de transparence et de contrôle qui s’appliqueront tout au long du cycle de vie du système d’IA mais aussi à tous les sujets impliqués dans la chaîne – du développeur à l’utilisateur final. Le règlement de l’IA est définitivement un règlement de « compliance ».
Des sanctions conséquentes similaires à celles du RGPD
Les amendes encourues suivent la même logique que celle du régime du RGPD, voire seront plus élevées en cas d’usages « inacceptables » (jusqu’à 30 M€ ou 6 % du chiffre d’affaires annuel mondial). Des amendes spécifiques pour manquement de coopération avec les autorités nationales au sein de l’UE pourront également être infligées (jusqu’à 10 M€ d’amendes ou 2 % du chiffre d’affaires).
Une entrée en vigueur pour 2024/2025 ?
La CNIL et ses homologues européens se félicitent d’ores et déjà de cette proposition4. Ce texte, en cours de discussion au Parlement européen et au Conseil de l’UE, ne devrait pas entrer en vigueur avant deux/trois ans. Le temps pourtant presse : l’ONU appelle déjà à un moratoire de certains usages de l’IA5 ; l’UNESCO vient d’adopter ses premières recommandations sur une éthique de l’IA6 destinées selon ses vœux pieux « à servir de base normative globale permettant de faire respecter l’État de droit dans le monde numérique ».
Ce type de réglementations de l’IA, s’appuyant sur la responsabilisation des entreprises par le contrôle de la mise en place de dispositifs de compliance, fait revenir au premier plan la culture des valeurs et l’humain. La compliance est un atout pour les entreprises, mais aussi, et peut être surtout, pour l’Europe. À nous, juristes, de jouer.
Notes :
1. Commission européenne, Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, 21 avr. 2021, COM (2021) 206 final. Considérant 5.
2. Ibid.
3. Ibid., exposé des motifs, 5.2.1., p. 14.
4. EDPB-EDPS, Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence, 18 Jun. 2021.
5. Conseil des droits de l’homme, Le droit à la vie privée à l’ère du numérique, Rapport de la Haute-Commissaire des Nations Unies aux droits de l’homme, 13 sept. 2021, A/HRC/48/31.
6. UNESCO, Rapport de la Commission sciences sociales et humaines (SHS), Conférence générale, 41e session, 22 nov. 2021, 41 C/73.