Comment Bruxelles veut promouvoir l'intelligence artificielle tout en régulant les risques

En février 2020, la Commission européenne présentait son livre blanc sur sa stratégie en matière d'intelligence artificielle. Après plus d'un an, elle vient de dévoiler ce mercredi 21 avril sa proposition de règlement lors d'une conférence de presse menée par Margrethe Vestager, la vice-présidente exécutive, et Thierry Breton, commissaire chargé du marché intérieur.

L'objectif principal de cette future législation est de "conforter la position de l'Europe en tant que pôle mondial d'excellence dans le domaine de l'IA, du laboratoire au marché, à faire en sorte que, en Europe, l'IA respecte nos valeurs et nos règles et à exploiter son potentiel à des fins industrielles", a déclaré Thierry Breton à cette occasion.

La Commission fournit une définition de ce qu'elle entend par "intelligence artificielle". Il s'agit d'un "logiciel (…) capable, pour un ensemble donné d'objectifs définis par l'homme, de générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent". Il s'agit d'une définition assez large permettant d'englober de nombreux aspects technologiques.

L'Usine Digitale vous propose cinq principes clés à retenir de ce texte qui, avant de devenir définitif devra être approuvé par le Parlement et le Conseil, un organe réunissant les ministres des Etats membres par domaines d'activité.

1) a qui s'applique ce nouveau cadre ?

Ces nouvelles règles s'appliqueront aussi bien aux acteurs du secteur public qu'aux entreprises quelle que soit leur taille, à l'intérieur comme à l'extérieur de l'Union européenne, pour tout système d'IA mis sur le marché dans l'Union ou dont l'utilisation a une "incidence" sur les personnes situées dans l'UE. En revanche, elle ne s'applique pas aux utilisations privées non professionnelles.

En d'autres termes, cela signifie qu'une société étrangère, américaine ou chinoise par exemple, sera obligée de respecter ce cadre si elle veut commercialiser son algorithme au sein de l'UE. D'ailleurs, Microsoft avait applaudi l'adoption du livre blanc lors de son événement "Data science and law forum" organisé en mars 2020 à Bruxelles, une ville hautement symbolique.

2) La reconnaissance faciale interdite par principe

Le titre II de la proposition de règlement est consacré aux utilisations interdites. Est interdit la mise sur le marché ou l'utilisation d'un système d'IA qui déploie "des techniques" pour manipuler le comportement d'une personne de façon à lui causer un préjudice, celui qui exploite les vulnérabilités d'un groupe via des pratiques discriminatoires ou qui vise à noter les individus en fonction de leur comportement social.

La Commission souhaite également bannir l'utilisation de "systèmes d'identification biométrique à distance 'en temps réel' dans les espaces accessibles au public à des fins de maintien de l'ordre", qui en d'autres termes revoit à un système de reconnaissance faciale. Mais elle prévoit trois exceptions à ce principe : la recherche de victimes, la prévention d'une menace spécifique, la détection ou l'identification d'un suspect pour une infraction punie d'une peine ou d'une mesure privative de liberté de trois ans.

Du point de vue procédural, chaque utilisation à des fins répressives doit être soumise à une autorisation préalable accordée par "une autorité judiciaire ou par une autorité administrative indépendante" de l'État membre dans lequel l'utilisation doit avoir lieu. Cependant, dans une situation d'urgence "dûment justifiée", l'utilisation peut débuter sans autorisation. Elle sera demandée pendant ou après l'utilisation de la reconnaissance faciale.

3) Une approche fondée sur les risques

Comme elle le prévoyait dans son livre blanc, la Commission européenne adopte une approche fondée sur les risques en distinguant les systèmes d'IA à "haut risque" et les autres.

Les systèmes d'IA à "haut risque"

Pour qu'une IA soit considérée à "haut risque", elle doit cumulativement être employée dans un secteur où des risques importants sont à prévoir et être utilisée dans ce secteur de telle façon que ces risques sont susceptibles d'apparaître. On peut citer les technologies utilisés dans les infrastructures critiques, telles que les transports, et qui sont susceptibles de mettre en danger la vie des personnes, celles utilisées dans l'éducation et la formation professionnelle, celles intégrées dans les composants de sécurité, celles utilisées dans la gestion des contrôles aux frontières ou encore l'administration de la justice et les processus démocratiques.

Pour pouvoir être mises sur le marché, ces systèmes à "haut risque" devront présenter des "systèmes adéquats d'évaluation et d'atténuation des risques" et des data sets robustes. Ils devront également monitorer leurs activités afin de garantir une traçabilité des résultats, posséder une documentation détaillée sur leur fonctionnement et ses finalités et des informations claires destinées à l'utilisateur final.

La supervision humaine doit par ailleurs être au coeur de ces systèmes. Elle vise à "prévenir ou à réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux", peut-on lire dans le texte. La personne chargée de cette surveillance doit par exemple pouvoir comprendre pleinement "les capacités et les limites du système d'IA à haut risque" et être en mesure de surveiller son fonctionnement, de sorte que "les signes d'anomalies, de dysfonctionnements et de performances inattendues" puissent être détectés et traités dans les meilleurs délais.

Les systèmes à risque "limité" ou "minimal"

Certains systèmes à risque "limité", tels qu'un chatbot, doivent respecter une série d'obligations relatives à la transparence. Les personnes doivent être informées qu'elles interagissent avec un algorithme à moins que cela ne soit évident, précise l'article 52. Sont également intégrés dans cette catégorie les "deepfakes" Les auteurs de ces trucages vidéo plus vrais que nature seront dans l'obligation de préciser que le contenu a été généré ou manipulé artificiellement.

Les systèmes à risque "minimal" constituent une catégorie par défaut c'est-à-dire qu'elle regroupe tous les "autres systèmes d'IA". Ils ne sont soumis à aucune obligation légale supplémentaire. Cependant, les fournisseurs de ces systèmes pourront adhérer à des codes de conduite volontairement, précise Bruxelles.

4) créer un comité européen de l'intelligence artificielle

A l'échelle européenne, une nouvelle instance devrait voir le jour : le comité européen de l'intelligence artificielle, prévoit l'article 56 de la proposition. Il sera chargé de contribuer à la coopération entre les autorités nationales et les aider à assurer une application cohérente des futures règles. C'est l'équivalent du Comité européen de la protection des données (CEPD) pour le Règlement général sur la protection des données (RGPD).

Le conseil d'administration du futur comité sera composé d'un représentant de chaque Etat membre issu d'une autorité de surveillance du marché. Il sera sous la direction de la Commission chargée de convoquer des réunions et de préparer l'ordre du jour.

Au niveau local, ce sont les autorités nationales de surveillance du marché qui veilleront au respect de ces nouvelle règles. Chaque Etat membre devra donc désigner une instance. Celle-ci devra impérativement disposer de "ressources financières et humaines" nécessaires pour remplir ses missions de surveillance et de contrôle. Ses membres devront présenter des compétences pointues dans les secteurs de l'IA et des données mais également des droits fondamentaux.

5) Les sanctions en cas de violation des règles

La Commission prévoit une graduation dans le montant des sanctions. Dans les détails, les entreprises ou les acteurs publics utilisant des algorithmes interdits risquent une amende pouvant aller jusqu'à 30 millions euros ou jusqu'à 6% du chiffre d'affaires annuel mondial. Le non-respect des obligations, en dehors de celles relatives aux algorithmes explicitement interdits, est puni d'une amende pouvant aller jusqu'à 20 millions euros ou jusqu'à 4% du chiffre d'affaires annuel mondial.

Enfin, la fourniture d'informations incorrectes, incomplètes ou trompeuses aux organismes notifiés et aux autorités nationales compétentes en réponse à une demande est passible d'amendes administratives pouvant aller jusqu'à 10 millions d'euros ou jusqu'à 2% de son chiffre d'affaires annuel mondial total.

Sélectionné pour vous

Avec l'IA générative, la biologie allie science et ingénierie

Sur les plateformes chinoises, des deepfakes d'influenceurs pour vendre des produits

Des chercheurs développent un simulateur cardiaque pour former les cardiologues