15/09/21

Les obligations des fournisseurs et des utilisateurs de systèmes d’intelligence artificielle selon le projet de règlement e…

De manière assez générale, l’intelligence artificielle (ci-après « IA ») pourrait être définie comme un ensemble des théories et des techniques de développement encodées dans des algorithmes capables de faire simuler à des logiciels ou à des machines certains traits de l'intelligence humaine (raisonnement, apprentissage...).

L’application pratique de l’IA nous montre d’ores et déjà que l’IA à le potentiel de nous procurer de nombreux avantages économiques et sociétaux comme dans le domaine médical (diagnostiques).

Toutefois, il est également déjà clair que l’IA peut aussi devenir discriminatoire envers les individus et porter préjudice (de manière intentionnelle ou non) à leurs droits fondamentaux.

Le 21 avril 2021, la Commission, après de nombreuses concertations a proposé un projet de règlement européen établissant des règles harmonisées concernant l’intelligence artificielle. (Règlement 2021/0106- ci- après « le règlement » ou « le projet de règlement » )

Le but principal du projet de règlement est d’éviter la fragmentation des règles et de créer un ensemble de règles harmonisées (à l’épreuve du temps et de l’évolution de la technologie) concernant la mise sur le marché, la mise en service et l’utilisation de systèmes d’intelligence artificielle (ci-après dénommés « systèmes d’IA ») dans l’Union.

Les règles proposées essaient également de favoriser la qualité des systèmes IA mis sur le marché et d’adresser les risques pour les droits fondamentaux des individus.

L’approche envisagée pour atteindre ces buts est une approche basée sur la « compliance » des opérateurs de systèmes d’IA (en particulier les fournisseurs) avec des obligations qui sont plus ou moins lourde en fonction du risque identifié (du système d’IA envisagé) pour les droits fondamentaux des individus concernés.

A. Champ d’application et concepts clefs

Le projet de règlement à vocation à s’appliquer à trois acteurs de la chaines IA identifiés respectivement comme les :

(a) fournisseurs, établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union ;

(b) utilisateurs de systèmes d’IA situés dans l’Union ;

(c) les fournisseurs et utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union.

Il est précisé également dans les considérants que des systèmes d’IA qui ne sont pas mis sur le marché, mis en service ou encore utilisés dans l’Union européenne dont les effets impactent des personnes physiques situées dans l’Union européenne rentrent dans le champ d’application.

Le projet de règlement ne s’applique pas aux systèmes d’IA développés ou utilisés uniquement à des fins militaires ou dans le cadre d’accords internationaux de coopération des services répressifs et judiciaires avec l’Union ou avec un ou plusieurs États membre.

Les fournisseurs établis en dehors de l’Union sont tenus de nommer, par mandat écrit, un mandataire établi dans l’Union.

La définition d’un système d’IA a été pensée pour être aussi neutre que possible sur le plan technologique et pour résister à l’épreuve du temps. La définition est donc assez générale et fait référence à l’Annexe I du règlement qui reprend une liste des techniques s’apparentant à de l’IA qui peut être complétée ou modifiée à tout moment par la Commission.

Le fournisseur est : « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit » et doit être considéré comme un acteur central du projet de règlement sur l’IA.

En effet, le fournisseur centralise la grande majorité des obligations en matière de « compliance » en particulier pour la mise sur le marché de systèmes IA identifiés comme étant à haut risque.

La notion « d’utilisateur » ne concerne en pratique que les usagers professionnels qui utilisent un système IA mis sur le marché par un fournisseur, un distributeur ou un importateur.

B. L’identification des systèmes d’IA en fonction du risque

Les pratiques interdites

Le projet de règlement liste une série de pratiques interdites en matière d’intelligence artificielle :

La mise sur le marché de systèmes d’IA ayant recours à des techniques subliminales au-dessous du seuil de conscience d’une personne ou qui exploite les éventuelles vulnérabilités dues à l’âge ou au handicap physique ou mental d’un groupe de personnes donné susceptibles de causer un préjudice physique ou psychologique à cette personne ou groupe de personnes ou à un tiers ; 

La mise sur le marché par les pouvoirs publics ou pour leur compte, de systèmes d’IA destinés à évaluer ou à établir un classement de la fiabilité de personnes physiques en fonction de leur comportement social ou de caractéristiques personnelles qui auraient des effets préjudiciables disproportionnées pour ces individus ;

L’utilisation de systèmes d’identification biométrique à distance « en temps réel» dans des espaces accessibles au public à des fins répressives sauf si et dans la mesure où cette utilisation est strictement nécessaire eu égard à l’un des objectifs décrits.

On constate que ces pratiques sont interdites mais que l’interdiction est relative en particulier en ce qui concerne les systèmes d’identification biométriques à distance en temps réel. Ceci a déjà été critiqué notamment par la CNIL qui considère que l’interdiction devrait être absolue.1

Les systèmes d’IA à haut risque

Un système d’IA mis sur le marché ou mis en service, sont considérés comme à haut risque lorsque les

deux conditions suivantes sont remplies :
(a) le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par les actes législatifs d’harmonisation de l’Union énumérés à l’annexe II, ou constitue lui-même un tel produit ;
(b) le produit dont le composant de sécurité est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de la conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit conformément aux actes législatifs d’harmonisation de l’Union énumérés à l’annexe II. 2.

Outre les systèmes d’IA à haut risque visés au paragraphe 1, les systèmes d’IA visés à l’annexe III sont également considérés comme à haut risque.

Cette liste comprend par exemple les systèmes IA déterminant l’accès à l’enseignement, dans le cadre d’un processus de recrutement, d’un octroi de crédit etc...) peut être complétée ou modifiée par la Commission.

Les systèmes d’IA qui interagissent avec des êtres humains.

Certains systèmes d’IA en raison des risques spécifiques de manipulation qu’ils présentent impliquent pour les fournisseurs ou utilisateurs de respecter des obligations de transparence. En pratique dans ce cas il faut informer les personnes physiques qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement des circonstances et du contexte d’utilisation.

Il s’agit des systèmes d’IA qui :
i) interagissent avec les humains, ii) sont utilisés pour détecter des émotions ou déterminer l’association avec des catégories (sociales) sur la base de données biométriques, ou iii) générer ou manipuler des contenus (trucages vidéo ultraréalistes).

Cette obligation ne s’applique pas aux systèmes d’IA dont la loi autorise l'utilisation à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, sauf si ces systèmes sont mis à la disposition du public pour permettre le signalement d'une infraction pénale

C. La responsabilité des fournisseurs pour la mise sur le marché d’un système d’IA à haut risque

Comme dit précédemment, le fournisseur supporte la charge de la grande majorité des obligations prévues par le règlement lorsqu’il veut mettre sur le marché un système d’IA à haut risque.

Beaucoup de ces obligations son « ex -ante », c’est-à-dire préalable à la mise sur le marché du système IA.

Il s’agit notamment pour le fournisseur de devoir identifier et analyser les risques potentiels, de prévoir une politique de gestion de ceux-ci, d’effectuer des tests des systèmes d’IA dans des environnements sécurisés avec des jeux de données pertinentes, de rédiger la documentation technique demandée, de prévoir la possibilité d’une intervention humaine, le cas échéant de demander la certification du système à une autorité notifiée, d’enregistrer le système dans la base de données de la Commission prévue à cet effet etc...

D’autres obligations perdurent après la mise sur le marché du système IA. Il s’agit par exemple pour le fournisseur de notifier les autorités de surveillance des incidents ou des modifications substantielles des systèmes IA, d’effectuer des tests réguliers etc. ..

D. La responsabilité des utilisateurs pour leur utilisation d’un système d’IA à haut risque

Les obligations des utilisateurs sont principalement limitées à l’usage du système IA en bon père de famille selon la notice d’utilisation et à la surveillance du fonctionnement du système d’IA et la notification des risques substantiels ou incidents graves et dysfonctionnements dont il pourrait être témoin aux autorités compétentes.

Néanmoins, en matière de protection des données à caractère personnel, il incombe également à l’utilisateur de procéder à une analyse d’impact relative à la protection des données en vertu de l’article 35 du règlement (UE) 2016/679 ou de l’article 27 de la directive (UE) 2016/680, le cas échéant c’est notamment le cas s’ils traitent des données sensibles ou de manière fréquente et à grande échelle.

L’utilisateur fera également très attention lors de son utilisation de na pas :

(a) mettre sur le marché ou mettre en service un système d’IA à haut risque sous son propre nom ou sa propre marque ;

(b) modifier la destination d'un système d’IA à haut risque déjà mis sur le marché ou mis en service ; (c) apporter une modification substantielle au système d’IA à haut risque

Le risque si l’utilisateur est reconnu avoir adopté un de ces comportements est d’être considéré comme un fournisseur aux fins du règlement et être soumis aux obligations incombant au fournisseur (y compris les sanctions).

E. Les sanctions encourues par les opérateurs de système d’IA

Les États membres devraient prendre toutes les mesures nécessaires pour que les dispositions du présent règlement soient mises en œuvre et, notamment, prévoir des sanctions effectives, proportionnées et dissuasives en cas de violation de ces dispositions (notamment en tenant compte de la nature et de la taille de la personne physique ou morale concernée).

Le règlement prévoit toutefois un cadre en matière de sanction administratives pécuniaires :

  • Pour la mise sur le marché d’un système d’IA interdit ou en cas de non-respect de règles liées à la qualité des données l’amende pourra atteindre 30 millions d’euros ou 6% du chiffre d’affaires annuel mondial total de l’entreprise.
  • Pour toutes les autres obligations prévues par le règlement des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’entreprise pourront être infligées.
  • En cas de fourniture d’informations incorrectes, inexactes ou trompeuses aux autorités nationales compétentes, la sanction prévue est une amende administrative pouvant aller jusqu’à 10 millions d’euros ou 2% de son chiffre d’affaires annuel mondial total.

Conclusion

Le projet de règlement est actuellement en attente de la décision de la commission parlementaire. Il est prévu que le règlement soit applicable 2 ans après son entrée en vigueur et ne s’applique pas aux systèmes d’IA déjà sur le marché sauf dans la mesure où ces systèmes subiraient d’importantes modifications de leur conception ou de leur destination après la date d’application du règlement.

Nonobstant ce qui précède, les entités répondant à la définition de fournisseurs, importateurs ou distributeurs de systèmes IA au sens du règlement et les utilisateurs qui utilisent ou projettent d’utiliser des systèmes IA dans le cadre de leurs activités professionnelles seraient avisés de mener dès aujourd’hui une analyse interne afin de vérifier si ces systèmes tombent éventuellement sous les pratiques interdites ou dans les systèmes à haut risques afin d’éviter des déconvenues.

1 https://www.cnil.fr/fr/intelligence-artificielle-lavis-de-la-cnil-et-de-ses-homologues-sur-le-futur-reglement- europeen

dotted_texture