Proposition de loi européenne sur l’intelligence artificielle : que contient le texte ?
Autrice : Dushi Yoganantharajah, master de droit de l’Union européenne, Université de Lille
Relecteurs : Vincent Couronne, docteur en droit européen, chercheur associé au centre de recherches VIP, Université Paris-Saclay
Jean-Paul Markus, professeur de droit public, Université Paris-Saclay
Secrétariat de rédaction : Emma Cacciamani
Ces jours-ci débute à Bruxelles une négociation tendue entre les élus du Parlement européen, les représentants des États et la Commission européenne sur le projet d’encadrement de l’intelligence artificielle. Une négociation qui devrait durer plusieurs mois tant les positions entre les députés et les États, et des États entre eux, se sont éloignées ces derniers mois.
La stupéfaction créée par ChatGPT, le robot conversationnel de la firme OpenAI financée par Microsoft, a rappelé de manière brutale que l’intelligence artificielle va bouleverser nos sociétés. De la médecine à l’éducation, de l’ingénierie à la politique et aux médias, les intelligences artificielles (IA) dites génératives nous ont propulsés à l’orée d’une nouvelle révolution. Le 11 mai 2023, les eurodéputés ont donné leur accord à la proposition de la Commission européenne visant à réguler l’intelligence artificielle, une proposition que la Commission von der Leyen avait faite dès le 21 avril 2021. L’exécutif européen estime l’encadrement de cette technologie nécessaire pour mieux contrôler les pratiques à risque, favoriser son innovation, et promouvoir une IA digne de confiance. L’Union européenne est le premier ordre juridique dans le monde à vouloir encadrer avec une telle ambition l’utilisation de l’IA, et le Parlement européen, lors d’un vote le 14 juin 2023, a substantiellement renforcé les obligations qui en découlent.
Un pas vers l’indépendance numérique européenne
L’Union européenne souhaite marquer sa position et son approche au sujet de l’IA dans le marché mondial. S’il est adopté, ce règlement aurait une portée extraterritoriale, et s’appliquerait de la même manière que le Règlement général sur la protection des données (RGPD) au-delà du territoire européen, et avec le même effet contraignant.
Ce règlement est un pas de plus dans la volonté de l’Union européenne d’acquérir une autonomie stratégique, en d’autres termes une indépendance dans le domaine du numérique : la transition numérique est l’un des objectifs principaux de la Commission von der Leyen.
Ce volontarisme politique comporte plusieurs stratégies. L’idée principale de la Commission est de réglementer le secteur afin d’encourager les innovations, par exemple avec la qualification d’IA “digne de confiance” à toutes les IA développées ou utilisées sur le territoire européen, afin de rassurer les utilisateurs. L’innovation et le développement d’une telle technologie pourrait apporter de nombreux avantages pour l’Union européenne suite à la crise du Covid-19 : des soins de santé de meilleure qualité, des transports sûrs et propres, une production plus efficace, etc.
Une réglementation fondée sur le niveau de risque de l’IA
Par ailleurs, le règlement est soumis à une approche fondée sur les risques. Les IA sont donc différenciées selon leur niveau de risque d’atteinte à la santé, la sécurité, les droits des citoyens et des entreprises : risque minimal, risque faible, risque élevé, risque inacceptable. Les règles applicables dépendent dès lors du niveau de risque de l’IA. Plus le risque est élevé, plus les exigences sont fortes. Les IA présentant un risque inacceptable, comme la reconnaissance faciale en direct ou les IA de notation sociale comme elles existent par exemple en Chine seraient de fait interdites, si la position des députés européens est maintenue dans le texte final.
Les hauts risques des IA
La proposition consacre tout un titre aux modèles d’IA à haut risque, à savoir celles qui entravent de façon importante les droits fondamentaux, et portent atteinte à la santé et à la sécurité des personnes. Il s’agit, par exemple, des IA qui détectent les émotions des personnes.
La proposition de règlement indique les obligations spécifiques auxquelles sont soumises ce type d’IA, notamment l’obligation de posséder un système de gestion de risques qui permettra l’évaluation continue et régulière des risques qui peuvent ressurgir sur tout le long du cycle de vie de l’IA ; ou encore l’obligation de transparence et la fourniture d’informations aux utilisateurs.
Les IA à haut risque doivent être dotées du marquage “CE” pour pouvoir circuler librement au sein de l’Union européenne, un marqueur fourni par des organismes spécialisés qui vérifieront que le logiciel respecte bien la législation en vigueur. Cependant, le projet de règlement ne dit rien de la procédure de marquage par les organismes nationaux : ces derniers devront travailler en étroite coopération avec la Commission européenne.
L’interdiction de principe de certaines pratiques
Les IA, dont le risque est qualifié d’inacceptable, sont interdites puisqu’elles créent une entrave importante à la santé, à la sécurité, aux droits fondamentaux des personnes, et aux valeurs de l’Union européenne. Elles sont prohibées afin de promouvoir une IA éthique et digne de confiance. L’article 5 de ladite proposition énumère quatre pratiques interdites parmi lesquelles l’exploitation des vulnérabilités dues à l’âge ou au handicap physique ou mental d’une personne pour influer son comportement, ou l’utilisation de systèmes d’identification biométrique.
L’interdiction de l’identification biométrique est toutefois assortie d’exceptions. La CNIL, autorité française de protection des données, considère en revanche que certaines exceptions ne seraient pas nécessaires, comme par exemple celles qui utiliseraient l’identification biométrique, donc la reconnaissance du visage, de la voix, des traits du visage pour classer les groupes basés sur leur ethnicité, leur sexe, leur orientation politique ou sexuelle.
En cas de non respect de la législation européenne, la sanction se veut dissuasive : 7 % du chiffre d’affaires mondial de l’entreprise – attention, on ne parle pas du seul bénéfice. La Commission avait proposé 6 %, comme c’est déjà le cas pour le RGPD, mais le Parlement européen a souhaité aller encore plus loin. Pour une entreprise comme ChatGPT, dont le fondateur vise le milliard de dollars de revenus pour 2024, cela représenterait une amende d’un peu plus de 60 millions d’euros.
Garde-fou : une législation vouée à évoluer
L’IA est une innovation récente, mais surtout une innovation constante. Les règles présentes resteront-elles adaptées à l’évolution des IA ? La Commission fait usage de termes larges dans la définition de l’IA, ce qui constitue une manière d’englober un maximum de cas. Mais l’évolution des technologies doit demeurer encadrée par le droit, qui est ainsi lui-même voué à évoluer. C’est la raison pour laquelle la proposition prévoit des sortes de bacs à sable réglementaires qui permettraient de mettre en place des essais technologiques avant mise sur le marché. Quoiqu’il en soit, les négociations en trilogue ne font que commencer, et il y a fort à parier que d’ici la fin de l’année, lorsque députés et représentants des États mettront la dernière main au texte, de nouveaux bouleversements les auront contraints à faire évoluer leur texte.
Une erreur dans ce contenu ? Vous souhaitez soumettre une information à vérifier ? Faites-le nous savoir en utilisant notre formulaire en ligne. Retrouvez notre politique de correction et de soumission d'informations sur la page Notre méthode.