Publié au Journal officiel le 12 juillet 2024, le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle vise à établir des règles harmonisées pour l’intelligence artificielle (ci-après « RIA ») au sein de l’UE. Ce règlement constitue une étape importante dans la régulation de l’IA, visant à encadrer son développement et son utilisation afin de protéger les droits fondamentaux.
- Le RGPD : éviter que l’homme ne subisse les décisions émanant uniquement de machines
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), entré en application le 25 mai 2018, vise à protéger les données à caractère personnel (ci-après « données personnelles ») des personnes situées sur le territoire de l’UE en établissant des principes régissant leur collecte et leur traitement.
Comme tous les traitements de données personnelles n’impliquent pas nécessairement une technologie d’intelligence artificielle ; toutes les technologies d’IA ne traitent pas de données personnelles.
Le RGPD avait déjà prévu un encadrement des processus de prise de décision entièrement automatisés, lorsqu’elles produisent des effets juridiques pour la personne ou « affectant de manière significative » les personnes[1]. Le RGPD interdit par défaut de prendre une décision au sujet d’une personne, si elle est entièrement informatisée et si elle produit des effets juridiques à son égard ou a un impact significatif sur elle. Des exceptions sont prévues si la personne a donné son consentement informé et éclairé, s’il est nécessaire dans le cadre de l’exécution d’un contrat avec la personne concernée ou s’il est nécessaire pour remplir une obligation légale. Toutefois, cela n’empêche que les personnes concernées ont des droits supplémentaires lorsqu’une décision est prise à leur encontre via un processus automatisé : une information spécifique doit leur être fournie et elles ont le droit de contester la décision.
Le profilage défini à l’article 4 du RGPD peut par ailleurs être lié à un tel processus : profiler une personne peut amener à utiliser ses données de profil pour prendre une décision à son sujet. De nombreuses décisions entièrement automatisées sont prises sur la base d’un profilage. Toutefois, il peut exister également des décisions entièrement automatisées sans profilage[2].
- Le RIA : prévenir et limiter les risques posés par un système d’IA
Le RIA s’applique aux systèmes d’IA, à des modèles d’IA et pratiques d’IA. Un système d’IA est défini comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels. »
Il établit une classification et identifie :
- des pratiques interdites (IA à risque inacceptable)
- des pratiques à haut risque (IA à haut risque) : ces systèmes sont soumis à des exigences strictes en matière de transparence, de robustesse, et de gestion des données. Ils concernent notamment les applications dans les secteurs critiques comme la santé, le recrutement, ou encore la justice. Les systèmes d’IA utilisés dans des contextes sensibles doivent également faire l’objet d’évaluations de conformité avant leur mise sur le marché.
- Des pratiques à risque spécifique en matière de transparence ;
- Des pratiques à risque minimal.
Une nouvelle catégorie de modèles dits « à usage général » apparaît. Ces modèles se définissent par leur capacité à servir à un grand nombre de tâches, ce qui les rend difficiles à classer dans les catégories précédentes. Il s’agit notamment de ceux proposés dans le domaine de l’IA générative ; comme Chat GPT de OpenAI.
Le RIA met un accent particulier sur la protection des droits des utilisateurs et des citoyens européens. Il impose des obligations aux concepteurs et aux opérateurs de systèmes d’IA en matière de transparence, de responsabilité, et de gestion des données. Les utilisateurs doivent être informés de l’utilisation de l’IA, et des mécanismes de recours sont prévus en cas de violation de leurs droits.
Le règlement prévoit des exceptions pour les activités de recherche et de développement afin de tester de nouvelles technologies d’IA dans un cadre sécurisé et sous la supervision des autorités compétentes ; comme le prévoit également le RGPD dans certains cas.
- Quid de l’application ?
A cet égard, le RIA et le RGPD se ressemblent dans leurs approches (grands principes, obligations de transparence, analyse d’impact, obligation de documentation, mesures de sécurité des données etc.).
Les structures ayant bien intégré la conformité au RGPD ne devraient pas être dépaysées avec le RIA.
Si un système d’IA traite des données personnelles, l’entreprise devra veiller au respect des deux règlementations, potentiellement en tant que responsable de traitement et en tant que déployeur d’IA. L’entreprise pourra être amenée à mutualiser ses efforts en matière de documentation (analyse d’impact par ex) et à optimiser ses process.
Bien que le RIA soit entré en vigueur le 1er août 2024, sa mise en application est échelonnée dans le temps :
- une première partie (interdictions relatives aux systèmes d’IA présentant des risques inacceptables) entrera en application le 2 février 2025 ;
- une deuxième partie (règles pour les modèles d’IA à usage général + nomination des autorités compétentes dans les États membres) entrera ensuite en application le 2 août 2025.
- Toutes les dispositions du règlement sur l’IA deviendront ensuite applicables le 2 août 2026 soit 2 ans après l’entrée en vigueur[3].
Notes :
[1] Art 22 §1 du RGPD : « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. (…) »
[2] Exemple : un système de détection des infractions au code de la route qui délivre des amendes automatiques ne nécessite pas de profilage.
[3] A l’exception de règles spécifiques pour les systèmes d’IA à haut risque de l’annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.) qui prendront effet le 2 août 2027.