Renaissance Numérique, un groupe de réflexion spécialisé dans les sujets liés au numérique, et la Chaire Legal and Regulatory Implications of Artificial Intelligence de l’Université Grenoble Alpes viennent de publier un rapport sur la proposition de règlement sur l'intelligence artificielle de la Commission européenne.



Trouver le juste équilibre

"Le grand défi de la Commission est de trouver un équilibre entre la réduction des risques et l'innovation", résume Théodore Christakis, professeur de droit et titulaire de la chaire Legal and Regulatory Implications of Artificial Intelligence au sein de l'Université Grenoble Alpes, interrogé par L'Usine Digitale. Une ambition applaudie par le rapport.



Dans une logique de co-construction, "nous nous sommes posé la question du caractère applicable de ce texte en l'état et comment était-il possible de l'améliorer", ajoute Jennyfer Chrétien, déléguée générale de Renaissance Numérique.



Le rapport propose plusieurs axes d'amélioration. Le premier concerne le mécanisme de révision permettant de modifier certains points du texte afin de les faire évoluer au gré des avancées scientifiques et techniques. Ainsi, la définition de l'IA pourrait être révisée.



Actuellement, il s'agit d'un "logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit". L'annexe 1 liste trois approches : les approches d’apprentissage automatique, les approches fondées sur la logique et les connaissances et les approches statistiques.



Un mécanisme de révision multipartite

Or, le pouvoir de modification n'est détenu que par la Commission européenne. A la place, le think tank appelle à la mise en place d'un mécanisme de révision "plus ouvert" faisant participer l'ensemble des acteurs concernés "pour des raisons de lisibilité et de sécurité". L'European Artificial Intelligence Board (EAIB), une autorité créée par le texte européen, ferait office de "forum de discussion" au sein duquel les différentes parties prenantes pourraient partager leurs expertises et éventuellement proposer des amendements à la liste des techniques et approches considérées comme des systèmes d’IA.



Dans le texte de la Commission, les différents systèmes d'IA sont classés en fonction de leur risque. Si peu de restrictions s’appliquent aux systèmes dont l’usage n’est pas susceptible d’entraîner des risques significatifs, à l’inverse, quatre types d’usages sont expressément interdits et une régulation est mise en place pour les systèmes dont l’usage présente un haut risque, détaille le rapport. La reconnaissance faciale fait partie des systèmes prohibés.



Dans les détails, le texte interdit l'utilisation des systèmes d'identification biométrique à distance "en temps réel" dans des espaces accessibles au public à des fins répressives. Mais les Etats membres de l'UE pourront déroger à cette interdiction sous certaines conditions strictes. Il s'agit par exemple de la recherche de victimes d'actes criminels, certaines menaces pour la vie ou la sécurité physiques des personnes ou encore la détection des auteurs d'une liste d'infractions. "Nous nous posons beaucoup de questions sur cette liste. Est-ce la seule liste qui existait ? La Commission doit affiner davantage ce sujet", indique Théodore Christakis.



Quelle articulation avec le RGPD ?

Les systèmes à "haut risque" doivent leurs côtés faire l'objet d'une analyse d'impact. Deux problématiques sont soulevées par Renaissance Numérique. Premièrement, se pose la question de l'articulation entre la future réglementation et les textes existants. En effet, comme l'explique Théodore Christakis, le Règlement général sur la protection des données (RGPD) prévoit également une analyse d'impact pour les traitements de données personnelles susceptibles d'engendrer des risques élevés. Le juriste ajoute que le texte européen ne va pas assez loin : "il faut aller jusqu'au bout en prévoyant que ces analyses d'impact soient publiées pour connaître les problèmes détectés, les stratégies mises en place pour réduire les risques…"



La seconde problématique porte sur l'harmonisation des pratiques entre les secteurs et les pays. En effet, "tout cela n'a d'intérêt que si tout le monde travaille en partie sur les mêmes bases, avec les mêmes notions et le même périmètre", défend Annabelle Richard, avocate associée au sein du cabinet Pinsent Masons et membre de Renaissance Numérique.



La procédure pourra également dépendre de l'autorité ou des autorités chargées de faire respecter la législation européenne à l'échelle nationale, à l'image de la Commission nationale de l'informatique et des libertés (Cnil) avec le RGPD. En effet, le texte laisse le choix aux Etats membres entre la désignation d'une ou de plusieurs entités. Avoir une gouvernance solide est indispensable, d'après Annabelle Richard, en particulier pour les plus petits acteurs. Ils doivent être capables "d'identifier l'entité qui a le dernier mot, capable de concevoir des outils pour aider à la mise en œuvre du texte, fixer une ligne d'interprétation sur certains concepts…".



Le chantier initié par la Commission européenne est donc colossal et loin d'être terminé. "Il va être nécessaire de trouver le juste équilibre entre le besoin de flexibilité pour ne pas avoir une réglementation trop rigide et le besoin de précision dans un souci d'harmonisation", conclut Théodore Christakis.