Dès octobre 20201, le Conseil Européen avait mis en avant l’objectif pour l’UE de devenir « un acteur mondial de premier plan dans le développement d’une intelligence artificielle sûre, fiable et éthique ». La Commission Européenne a publié, le 21 avril 2021 sa proposition de règlement, l’IA Act, établissant un ensemble de règles harmonisées sur l’intelligence artificielle, qui a été adopté par le Conseil de l’Union Européenne fin 2022. Dans la continuité du parcours législatif, un accord provisoire a été conclu entre le Parlement Européen et le Conseil, le 9 décembre 2023, après 3 jours de négociations. La législation est finalement adoptée le mercredi 13 mars 2024, par une large majorité des députés européens. Mais quels sont les apports principaux de ce texte ? Entre neutralité technologique du droit et régulation asymétrique L’IA Act adopte une définition très large pour englober tous les systèmes d’IA et ne pas devenir obsolète aux grés des évolutions technologiques : ainsi, il le définit comme étant « un système basé sur une machine conçu pour fonctionner avec différents niveaux d’autonomie, qui peut s’adapter après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels ». Si le texte se veut applicable à un large spectre de systèmes d’IA, il propose, paradoxalement, un champ d’application asymétrique, venant relativiser la neutralité technologique revendiquée. En effet, cette législation fonctionne selon une approche basée sur le risque : les risques sont classifiés en trois niveaux, allant de l’inacceptable au minimal, ayant chacun un régime juridique spécifique. Si les systèmes d’IA à risques faibles ne sont soumis qu’à une réglementation légère3, les applications d’IA « à haut risque » et les systèmes d’IA à « risques inacceptables » sont, eux, beaucoup plus impactés. Les systèmes IAs à haut risque sont règlementées Les IAs à haut risque sont les IAs qui présentent des risques importants pour la santé, la sécurité ou les droits fondamentaux des personnes. L’IA Act lui consacre son Titre III. Dans un premier temps, sont considérés comme IA à haut risque, « les systèmes d’IA destinées à être utilisées comme composant de sécurité ou qui constituent un tel produit, faisant l’objet d’une évaluation ex ante de la conformité par un tiers ». Également, est prévu, en Annexe III, une liste limitative de systèmes d’IA à haut risque, dont la Commission Européenne se réserve la possibilité d’y ajouter de nouveaux systèmes, afin de rester pertinent face à l’évolution des technologies4. Ces IAs sont en principe autorisées sur le marché européen, sous réserve d’être conformes à la réglementation fixée par le Chapitre 2 du Titre III du texte. Ces exigences portent sur plusieurs aspects, tels que la mise en place d’un système de gestion des risques ainsi que la gestion et la gouvernance des données, mais aussi la documentation et la tenue de registres, la transparence et l’information des utilisateurs, le contrôle humain, la robustesse ou encore l’exactitude et la (cyber)sécurité des systèmes. Ces obligations s’adressent surtout aux fournisseurs de systèmes d’IA. Néanmoins, les utilisateurs, les fabricants, ou les autres tiers ne sont pas en reste et sont également soumis à des obligations, décrites dans le Titre III ! Les IAs à risque inacceptable sont (en principe) interdites. Le Titre II prévoit une liste de pratiques interdites : cela concerne les systèmes d’IA dont l’utilisation est considérée comme inacceptable, car contraire aux valeurs de l’Union, notamment en raison des violations des droits fondamentaux qu’elle est susceptible d’engendrer. Sont par exemples interdites5 : – Les « systèmes d’IA qui utilisent des techniques subliminales échappant à la conscience d’une personne ou des techniques délibérément manipulatrices ou trompeuses, ayant pour objectif ou pour effet de fausser de manière significative le comportement d’une personne ou d’un groupe de personnes en altérant sensiblement la capacité de la personne à prendre une décision en connaissance de cause, (…) » – Les « systèmes d’IA pour l’évaluation ou la classification de personnes physiques ou de groupes de personnes sur une certaine période de temps, sur la base de leur comportement social ou de leurs caractéristiques personnelles ou de personnalité connues, déduites ou prédites, le score social conduisant » à un préjudice. Il existe une exception concernant l’utilisation d’un système d’identification biométrique à distance en « temps réel » dans des espaces accessibles au public (apparaissant dans la liste des pratiques interdites), qui pourra être autorisé lorsqu’il est utilisé à des fins répressives. Évidemment, cette exception doit respecter des conditions de nécessité et de proportionnalité ! Les systèmes d’intelligence artificielle qui comportent des risques spécifiques de manipulation sont régis par un cadre réglementaire particulier. Ce régime spécifique concerne certains systèmes d’IA, notamment ceux destinés à interagir avec des personnes physiques ou à générer du contenu. Ce régime intervient au-delà de la classification des risques, c’est-à-dire que même un système d’IA à risque faible peut être soumise à ce régime de transparence. Ces systèmes seront soumis à des obligations de transparence spécifiques6. On peut par exemple mentionner, au titre de ces obligations additionnelles, celle d’information des personnes qu’elles interagissent avec un système d’IA ou encore celle d’information des personnes qu’elles sont exposées à un système de reconnaissance des émotions. Également, le règlement prévoit le cas des « deep fakes7 », pour lesquels il sera obligatoire, sauf exceptions, de déclarer que le contenu est généré par des moyens automatisés. Conclusion L’IA Act est un texte dense, qui tente de réglementer les systèmes d’intelligence artificielle, avec pour finalité, de limiter les risques associés à l’utilisation de l’IA et à créer un écosystème de confiance autour de cette technologie. Il est important de souligner que l’intention n’est pas de créer une réglementation pesant lourdement sur les entreprises ou toute personnes à l’initiative d’un système d’intelligence artificielle. En effet, l’objectif est de se limiter « aux exigences minimales nécessaires » pour répondre aux risques de l’IA, sans pour autant « restreindre ou freiner indûment le développement technologique, ni augmenter de manière disproportionnée les coûts de mise sur le marché de solutions d’IA »8. C’est d’ailleurs la raison pour laquelle le texte réduit la charge réglementaire pesant sur les PME et les start-up ; et instaure la mise en place de bacs à sables réglementaires offrant un environnement contrôlé qui facilite le développement, la mise à l’essai et la validation des systèmes d’IA9. Désormais, ce texte doit être adopté officiellement par le Conseil ! La législation entrera en vigueur 20 jours après sa publication au Journal officiel et sera entièrement applicable 24 mois après, à l’exception de certaines dispositions qui entreront en vigueur plus tôt, ou plus tard. N’oublions pas toutefois que l’IA se développe de jour en jour et n’en est qu’à ses débuts ! Les applications quotidiennes sont aussi nombreuses que les risques qu’elles pourraient engendrer. Dans ce contexte, l’UE innove en tentant de limiter ces risques, sans pour autant limiter le développement de l’intelligence artificielle. La Team de TAoMA est à votre disposition pour toute question sur ce sujet ! Juliette Danjean Stagiaire juriste Jean-Charles Nicollet Conseil en Propriété Industrielle Associé 1) Réunion extraordinaire du Conseil européen (1er et 2 octobre 2020) 2) Article 3 Titre I de la dernière version du Règlement 3) Voir Titre IX et son article unique, qui encourage les fournisseurs de systèmes d’IA à tenir des codes de conduite, visant à inciter les fournisseurs de systèmes d’intelligence artificielle qui ne représentent pas un risque élevé à adopter volontairement les exigences imposées aux systèmes d’IA à haut risque, telles que définies dans le titre III. 4) Les systèmes d’IAs figurant dans le texte pour le moment, concernent par exemple les systèmes d’IA concernant l’identification biométrique et catégorisation des personnes physiques ou encore les systèmes de gestion et exploitation des infrastructures critiques (gestion et l’exploitation du trafic routier, fourniture d’eau, de gaz, de chauffage et d’électricité). 5) Voir Article 5 Titre II de la dernière version du Règlement 6) Voir Titre IV de la dernière version du Règlement 7) Selon le Parlement Européen, « les «deep fake» sont le résultat de la manipulation d’un média par l’intelligence artificielle », ce sont des « hypertrucages qui altèrent la réalité » (https://multimedia.europarl.europa.eu/fr/audio/deepfake-it_EPBL2102202201_EN) 8) Exposé des motifs de la Proposition de règlement de la Commission Européenne (1 ; 1.1) 9) Voir Titre V de la dernière version de Règlement