Annoncée par la présidente de la Commission européenne dans ses orientations politiques pour la Commission 2019-2024, cette proposition de règlement répond à des demandes tant du Conseil1(*) que du Parlement européen2(*) et fait suite à un livre blanc sur l'intelligence artificielle (IA) publié le 19 février 20203(*). Elle a pour objet d'établir des règles harmonisées concernant l'IA pour tout à la fois promouvoir cette technologie et prendre en compte les risques associés à certaines de ses utilisations. Elle fait partie d'un paquet, qui comprend également une communication favorisant une approche de l'intelligence artificielle (COM(2021) 205 final), un nouveau plan de coordination révisant le plan de 2018 et une proposition de règlement réformant la directive sur les machines (COM(2021) 202 final).
Les systèmes d'IA sont définis comme des « logiciels développés à l'aide d'une ou plusieurs techniques et approches » (identification biométrique, reconnaissance des émotions, catégorisation biométrique etc - listés à l'annexe I), capables « pour un ensemble donné d'objectifs définis par l'homme, de générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements dans lesquels ils interagissent ».
· Seuls sont visés les systèmes d'IA à haut risque
Le texte suit une approche par les risques et établit un cadre harmonisé transversal pour les seuls systèmes d'IA à haut risque en termes d'incidences économiques et sociétales, avec un accent particulier mis sur le respect des droits fondamentaux.
· Certaines pratiques particulièrement dangereuses sont formellement interdites
Le titre II interdit tout d'abord quatre usages de l'IA au motif qu'ils présentent un risque inacceptable :
- les systèmes qui influencent de manière subliminale les comportements ;
- ceux qui exploitent la vulnérabilité d'une personne ;
- les systèmes de notation sociale d'origine publique ;
- les systèmes de reconnaissance faciale (systèmes d'identification biométrique à distance en temps réel).
Cette dernière interdiction est toutefois assortie d'exceptions assez largement définies (la recherche d'un enfant disparu, la prévention d'une menace terroriste spécifique et imminente, la détection, la localisation, l'identification ou la poursuite d'un auteur ou suspect d'une infraction pénale grave), subordonnées à l'autorisation d'un juge ou d'un organe indépendant, pour une durée limitée et dans un périmètre géographique circonscrit.
· Un régime de régulation précis des systèmes d'IA considérés à haut risque
Le titre III encadre l'utilisation des technologies d'IA à haut risque. La classification proposée est double :
- soit des systèmes autonomes ou embarqués qui sont couverts par une des législations harmonisées de l'UE listées à l'annexe II et qui sont soumis à une évaluation de conformité en vertu de ces mêmes textes (machines, jouets, navires de plaisance, ascenseurs, dispositifs médicaux etc.) ;
- soit des systèmes listés à l'annexe III qui identifie des secteurs comme les infrastructures critiques, l'éducation et la formation professionnelle, la chirurgie assistée par robot, l'emploi et la gestion des ressources humaines, les services publics essentiels (comme l'évaluation du risque de crédit), les services publics ou privés essentiels, la justice etc).
Ces systèmes sont soumis à des exigences spécifiques imposant dès l'amont une mise en conformité déclarée en termes d'évaluation et d'atténuation des risques, de qualité des données utilisées, de documentation des processus et de traçabilité, d'information claire et adéquate de l'utilisateur, de contrôle humain approprié, de robustesse, sécurité et exactitude, avec préconstitution de preuves de cette conformité pour faciliter les contrôles.
Les fournisseurs de ces systèmes sont également soumis à un ensemble d'obligations pendant toute la durée d'exploitation : conformité et évaluation de la conformité, gestion de la qualité, documentation technique, traçage (par des journaux générés automatiquement) et obligation de prendre des mesures correctives en cas de non-conformité, information des autorités compétentes en cas d'identification d'un risque et coopération avec celles-ci.
Sont également définies les obligations et responsabilités des fabricants des produits, de leurs mandataires, des importateurs et des distributeurs, enfin celles des utilisateurs également tenus de mettre en place une surveillance du fonctionnement du système et de tenir des journaux automatiques. Des obligations particulières de transparence sont en outre prévues pour les systèmes d'IA destinés à interagir avec des personnes physiques.
· Une surveillance et un suivi du marché par des autorités nationales et la Commission
Le dispositif comprend un contrôle en amont, avant la mise sur le marché du système, et une surveillance dans la durée.
Chaque État membre désigne ainsi une autorité notifiante répondant à des exigences d'indépendance, de compétence et de confidentialité, qui examine les demandes de notification à la Commission, présentées par les organismes d'évaluation de la conformité des systèmes d'IA établis sur le territoire de l'État membre et qui doivent satisfaire à un ensemble d'exigences. Le texte précise les différentes procédures d'évaluation de la conformité et les modalités de délivrance des certificats de conformité. Il définit les obligations d'information des organismes notifiés à l'égard de l'autorité notifiante. La déclaration UE de conformité atteste que le système d'IA à haut risque satisfait aux exigences du règlement et s'accompagne d'un marquage de conformité CE.
Après la commercialisation des systèmes d'IA, leurs fournisseurs établissent et documentent un système de surveillance. Ils doivent notifier les incidents graves et les dysfonctionnements constituant des violations de la protection des droits fondamentaux à l'autorité de surveillance du marché qui en informe immédiatement les organismes nationaux chargés de veiller au respect des droits fondamentaux des personnes. Si une autorité nationale de surveillance du marché considère qu'un système d'IA présente un risque pour la santé, la sécurité ou la protection des droits fondamentaux, elle invite l'organisme notifié à prendre des mesures correctives et informe la Commission et les autres États membres si elle considère que la non-conformité n'est pas limitée au seul territoire national. En cas d'infraction, les amendes peuvent atteindre 30 millions d'euros ou, s'il s'agit d'une entreprise, 6% du chiffre d'affaires annuel mondial, le plus élevé des deux montants étant alors retenu.
Composé des membres des autorités nationales désignées par les États membres et du Contrôleur européen des données, un Comité européen de l'intelligence artificielle est chargé de fournir conseils et assistance à la Commission afin de favoriser la coopération, de coordonner les analyses et d'aider à une application cohérente du règlement (titre VI). Ce dispositif est proche de celui retenu notamment en matière d'application du RGPD.
Il est en outre prévu de mettre en place une base de données de l'UE pour les systèmes d'IA à haut risque autonomes (titre VII).
· Une obligation de transparence vis-à-vis des utilisateurs pour les systèmes à faible risque
Trois hypothèses sont envisagées par la proposition de règlement (titre IV) :
- les systèmes destinés à interagir avec une personne ;
- les systèmes ayant pour finalité la reconnaissance d'émotion ou la catégorisation biométrique ;
- enfin les systèmes qui génèrent ou manipulent des images, ou des contenus audio ou vidéo.
Ces systèmes sont soumis à des obligations de transparence à l'égard des usagers : information du fait qu'ils interagissent avec un système d'IA dans le premier cas, informations sur le fonctionnement du système dans le deuxième et information sur les contenus générés ou manipulés artificiellement dans le troisième.
· Des mesures de soutien à l'innovation
La Commission souhaite par ailleurs, grâce à une meilleure coordination, renforcer la position de premier plan de l'Europe dans le domaine de l'intelligence artificielle. À la suite de la publication de la stratégie européenne en matière d'intelligence artificielle, elle a lancé, en décembre 2018, un premier plan coordonné dans le domaine de l'intelligence artificielle, qui a été actualisé depuis lors et doit bénéficier des fonds alloués au titre du programme pour une Europe numérique, d'Horizon Europe, de la facilité pour la reprise et la résilience et de la politique de cohésion.
Le titre V de la proposition de règlement, qui prévoit la création de « bacs à sable réglementaires de l'IA » par une ou plusieurs autorités nationales compétentes ou le Contrôleur européen de la protection des données, s'inscrit dans cet objectif et met l'accent sur l'accès des jeunes entreprises à ces outils.
· Une articulation entre l'harmonisation au sein du marché unique et les compétences régaliennes
Fondée sur l'article 114 du TFUE, qui prévoit l'adoption de mesures destinées à assurer l'établissement et le fonctionnement du marché intérieur, la proposition de règlement s'inscrit dans la stratégie de l'UE pour le marché unique numérique. Le niveau européen apparaît en effet le mieux adapté pour prévenir une fragmentation des règles qui entraverait la circulation des produits et services liés aux systèmes d'IA dans l'UE et ne permettrait pas de garantir la protection des droits fondamentaux, consacrés par la charte, face à des systèmes d'IA à haut risque.
La mise en oeuvre relève toutefois des États membres qui peuvent prendre des mesures correctives et des sanctions, la proposition de règlement leur permettant en outre de prendre des mesures pour préserver la sécurité, la santé et les droits fondamentaux.
Anticipant une extension des usages de l'IA, la proposition de règlement habilite la Commission à mettre à jour les annexes par voie d'actes délégués pour ajouter de nouveaux systèmes d'IA à haut risque. Ces mises à jour sont toutefois encadrées, dans la mesure où il ne peut s'agir que de systèmes utilisés dans l'un des domaine définis par le règlement et qui présentent un risque d'atteinte à la santé, à la sécurité ou aux droits fondamentaux dont la gravité et le risque d'occurrence est équivalent ou supérieur au risque de préjudice des systèmes d'IA à haut risque visés à l'annexe III du règlement. Des actes délégués peuvent également mettre à jour la documentation technique ou adapter la procédure d'évaluation de la conformité pour tenir compte du progrès technique. En tout état de cause, le Parlement européen ou le Conseil sont en droit de formuler des objections (art. 73).
Compte tenu de ces observations, cette proposition de règlement ne semble pas porter atteinte au principe de subsidiarité.
Le groupe de travail sur la subsidiarité a donc décidé de ne pas intervenir sur ce texte au titre de l'article 88-6 de la Constitution.
* 1 Notamment dans les conclusions de la réunion extraordinaire des 1er et 2 octobre 2020.
* 2 Notamment dans des résolutions adoptées en octobre 2020, concernant les aspects éthiques, le régime de responsabilité et les droits de propriété intellectuelle, et en 2021.
* 3 Intelligence artificielle - Une approche européenne axée sur l'excellence et la confiance (COM(2020) 64 final).