Le règlement sur l’Intelligence artificielle (AI Act) a vocation à imposer des règles plus strictes pour réglementer les systèmes d’intelligence artificielle en Europe. Les entreprises doivent se conformer à des définitions élargies, des interdictions et obligations graduées, un cadre contractuel et à la protection des tiers, tout en prenant en compte leur responsabilité en cas de non-respect des règles de compliance.
Le 21 avril 2021, la Commission européenne publiait une proposition de règlement appelé, AI Act relatif à l’intelligence artificielle. Le Conseil prenait son orientation générale le 6 décembre 2022 et les parlementaires européens votaient un certain nombre d’amendements le 14 juin 2023. Les discussions trilogues ont donc débuté depuis lors, avec une première session le 18 juillet 2023.
Le but de ce règlement est de « créer un cadre juridique de confiance favorisant l’innovation sur le territoire de l’Union européenne, par une application extraterritoriale [1] ». Les débats portent sur la protection des données personnelles et des droits de propriété intellectuelle alors que, depuis la mise en ligne de l’IA générative Chat GPT, les usages de l’IA ne cessent de croitre.
À la différence du Conseil et de la Commission européenne, les amendements apportés au texte initial par le Parlement européen correspondent davantage à une réglementation accrue des systèmes d’intelligence artificielle et plus particulièrement des IA « génératives » à savoir des IA destinées à générer, avec différents niveaux d’autonomie, du contenu (texte, image, son, vidéo).
Cette réglementation plus poussée se justifie en réalité par les discussions relatives aux considérations éthiques dans le domaine de l’intelligence artificielle qui explosent depuis presque un an, les deux premières institutions ayant donné leur opinion avant l’effervescence de Chat GPT et avant de pouvoir constater les dérives liées aux différentes IA.
À l’instar du RGPD, l’AI Act ajouterait une réglementation supplémentaire à mettre en œuvre par les entreprises en sus des autres réglementations européennes relatives à l’univers du digital. Il prend comme source d’inspiration le Digital Services Act (DSA) et le Digital Markets Act (DMA) ciblant les plateformes en ligne.
Les amendements votés par les parlementaires comportent cinq axes principaux :
L’objectif est de donner des définitions plus actuelles de l’Intelligence artificielle, à l’instar de celle retenue par la Recommandation du Conseil sur l’intelligence artificielle du 22 mai 2019 [2], tout en excluant les systèmes automatisés les plus simples.
Le Règlement tel qu’issu des amendements comporte une définition générale : « un système basé sur une machine qui est conçue pour fonctionner avec différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations, ou des décisions, qui influencent des environnements physiques ou virtuels » et des définitions plus spécifiques notamment des IA « à usage général » qui vont servir de socle aux IA « génératives »
Est également définie l’IA à haut risque, qui correspond aux activités présentant un risque d’atteinte à la santé, à la sécurité ou aux droits fondamentaux, aux systèmes de recommandations des réseaux sociaux, les systèmes pouvant influer les résultats électoraux et les systèmes fondés sur la catégorisation biométrique.
La graduation est faite en fonction du niveau de risque et de la nature du système d’IA. Il y a des risques inacceptables et des pratiques interdites puis les systèmes d’IA à haut risque qui font peser sur les développeurs, usagers professionnels, etc. des obligations de diligences (identification, atténuation des risques, etc.). S’ajoutent aussi des principes généraux applicables à l’ensemble des systèmes, peu importe le niveau de risque.
Les personnes physiques affectées par un système d’IA ou exposées à un système IA doivent pouvoir identifier s’il existe un contrôle humain sur le système, l’identité de l’auteur ou l’existence de trucages. Il doit y avoir une information sur les objectifs et la nature de la décision. Une étude d’impact spécifique préalablement à la mise en service de l’IA à haut risque permet d’évaluer et atténuer les risques.
Le contrat écrit est imposé entre les fournisseurs d’IA à haut risque et les tiers et des clauses contractuelles type devraient être établies par la Commission européenne. Les clauses abusives relatives à la fourniture d’outils, de services, de composants et de processus permettent également une meilleure protection.
À l’instar des autorités prévues par le RGPD ou le DSA, le AI Act consacre un bureau européen de l’IA ayant pour vocation d’assurer la mise en œuvre de l’AI Act et la coopération entre les autorités nationales
Cette multitude de normes européennes peuvent amener les entreprises à ne pas respecter les différentes règlementations qui s’appliquent à l’échelle de l’Union européenne. En ce sens, il s’agit de prévoir en amont des règles pouvant permettre la réparation des dommages qui en résulteraient, et c’est le droit de la responsabilité qui vient compléter l’ensemble de ces obligations.
Face à certains manquements au projet de RIA, il s’agit de permettre à la victime atteinte, par exemple, d’un manquement aux jeux de données d’entraînement, de validation et de test (article 10.2, 10.3 et 10.4 du projet RIA), aux exigences de transparence (article 13 du projet RIA), au contrôle humain (article 14 du projet RIA), etc. de demander au juge d’ordonner au défendeur la divulgation d’éléments de preuve. Ce dernier point est permis par la Directive européenne relative à la responsabilité en matière d’intelligence artificielle (AILD).
Le manquement peut également provenir du défaut du produit relatif à l’intelligence artificielle. En effet, le projet de RIA, mais aussi celui du règlement sur la cyber résilience (CRA) cherchent à responsabiliser les acteurs du numérique en veillant à ce que « les fabricants prennent la sécurité au sérieux tout au long du cycle de vie d’un produit ».
Par ailleurs, cette notion de défaut de produit a été élargi en matière de cybersécurité par la proposition de révision de la directive du Parlement européen et du Conseil relative à la responsabilité du fait des produits défectueux (COM/2022/495 final, 28 septembre 2022).
[1] L’articulation du projet de règlement sur l’intelligence artificielle avec le droit du numérique européen, Chloé PLEDEL, Diane GALBOIS-LEHALLE, Bertrand CASSAR, 17 juillet 2023, DALLOZ.
[2] « Système automatisé qui, pour un ensemble donné d’objectifs définis par l’homme, est en mesure d’établir des prévisions, de formuler des recommandations, ou de prendre des décisions influant sur des environnements réels ou virtuels » p. 8
[3] Article 6, Proposition de Règlement AI Act, 21.04.2021.
