La présidence tchèque du Conseil de l’UE a fait circuler mercredi (19 octobre) un nouveau compromis sur le règlement sur l’intelligence artificielle (IA), qui devrait servir de base à un accord le mois prochain.
Le règlement sur l’IA est une législation historique qui vise à réglementer le secteur en fonction de ses risques potentiels. La présidence tchèque a fait de ce dossier une priorité, dans l’optique d’une approche générale à l’occasion d’une réunion ministérielle le 6 décembre.
Le nouveau compromis, le quatrième au total, sera examiné par le groupe « Télécommunications » du Conseil de l’UE mardi prochain (25 octobre). Si aucune difficulté majeure ne se présente, les ambassadeurs de l’UE pourraient donner leur feu vert au texte à la mi-novembre.
Champ d’application
En ce qui concerne le champ d’application, le nouveau texte précise que la dérogation pour l’armée, la défense et la sécurité nationale s’applique également à toute utilisation des systèmes d’IA, et pas seulement à leur mise sur le marché.
Une autre dérogation a été ajoutée pour les personnes utilisant l’IA à des fins non professionnelles, qui ne relèveraient pas du champ d’application du règlement sur l’IA, à l’exception des obligations de transparence.
Reconnaissance biométrique
En ce qui concerne la question controversée des systèmes d’identification biométriques, des logiciels capables de reconnaître les personnes par leur visage ou d’autres caractéristiques, la notion de distance a été réintroduite. L’année dernière, la présidence slovène de l’UE avait supprimé cet adjectif, jugé déroutant.
Toutefois, depuis lors, les États membres ont craint que les empreintes digitales ne tombent également dans le champ d’application. C’est pourquoi la définition de la notion de distance comprend désormais deux conditions : le système est utilisé à distance et l’identification se fait sans la participation active de la personne.
L’IA à usage général
Les systèmes d’IA à usage général sont des modèles de grande taille pouvant être adaptés pour exécuter diverses tâches ; l’application des nouvelles règles d’IA à ces systèmes a donc été jugée problématique. La solution de la présidence tchèque a été de charger la Commission d’adapter les obligations par le biais d’un acte d’exécution.
Cette approche a été largement conservée, ce qui confirme qu’elle a reçu le soutien des pays de l’UE. Parallèlement, le texte précise désormais que les fournisseurs d’IA à usage général peuvent toujours participer aux bacs à sable réglementaires (« regulatory sandboxes ») et s’appliquer aux codes de bonne conduite avant même que la Commission ne publie ses règles spécifiques.
Systèmes d’IA à haut risque
Une nouvelle obligation de transparence a été ajoutée, demandant aux fournisseurs de systèmes susceptibles de causer des dommages importants d’inclure le résultat attendu dans les instructions d’utilisation, le cas échéant.
Pour les systèmes de gestion de la qualité que doivent mettre en œuvre les fournisseurs d’IA à haut risque, une nouvelle formulation a été introduite afin d’aligner ces systèmes sur des systèmes similaires imposés par la législation sectorielle.
Les systèmes de contrôle de la pollution ont été retirés de la liste des cas d’utilisation à haut risque, tandis que les systèmes de calcul des risques et de tarification des assurances ont été ajoutés, hormis si le fournisseur est une PME.
Forces de l’ordre
Dans les compromis précédents, le Conseil de l’UE s’était déjà orienté vers la réduction d’une marge de manœuvre importante pour les forces de l’ordre. Le nouveau texte étend l’exemption au principe des quatre yeux, qui exige qu’au moins deux personnes vérifient la décision d’un système à haut risque.
En outre, les autorités publiques utilisant des systèmes à haut risque dans le cadre de leurs activités de maintien de l’ordre, de gestion des migrations, de contrôle de l’asile et des frontières, ainsi que des infrastructures critiques, ont été exemptées de l’obligation de s’enregistrer dans la base de données de l’UE.
En ce qui concerne l’utilisation des systèmes à haut risque dans ce domaine, les États membres pourraient choisir de désigner des forces de police ou des autorités judiciaires en tant qu’autorités de surveillance du marché. Le texte précise désormais que ces activités de surveillance du marché ne doivent pas affecter l’indépendance des tribunaux.
Innovation
Une autre partie importante des discussions au Conseil de l’UE a porté sur les bacs à sable réglementaires, des environnements contrôlés dans lesquels les entreprises peuvent expérimenter sous la supervision d’un régulateur.
L’apprentissage réglementaire fondé sur des données probantes a été ajouté aux objectifs de ces bacs à sable, dans la mesure où leurs résultats pourraient être utilisés pour alimenter la législation secondaire et les mesures d’application.
L’autorité de surveillance est désormais tenue de fournir un « rapport de sortie » reprenant les principales conclusions, qui doit être rendu public si toutes les parties en conviennent. Parallèlement, la formulation a été modifiée pour donner aux autorités nationales une plus grande souplesse dans la mise en place des bacs à sable d’IA.
Gouvernance
Selon la nouvelle formulation, le Comité de l’IA, qui rassemblera des représentants des États membres, devra contribuer à la surveillance du marché « en particulier en ce qui concerne l’émergence de risques de nature systémique pouvant provenir des systèmes d’IA. »
Dans un compromis précédent, la présidence a introduit la possibilité de créer un vivier d’experts chargé de venir en aide au Comité de l’IA, sur le modèle du Comité européen de la protection des données. Ce groupe d’experts est désormais rendu obligatoire.
Obligations de transparence
Les obligations de transparence pour les applications spécifiques de l’IA, telles que les deep fakes, ont été modifiées pour « ne pas entraver le droit à la liberté des arts, en particulier lorsque le contenu fait partie d’une œuvre ou d’un programme manifestement créatif, satirique, artistique ou de fiction. »
Sanctions
La violation des obligations de transparence et des exigences relatives à l’IA à usage général a été ajoutée à la liste des infractions pouvant entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel.
Davantage de critères ont été ajoutés pour le calcul de la sanction, notamment la nature intentionnelle ou négligente de l’infraction, les tentatives d’atténuation et le fait que des infractions similaires aient déjà été sanctionnées.
Spécifications communes
La définition et l’approche suivie en matière de spécifications communes ont été alignées sur le règlement relatif aux machines. Les spécifications communes seront notamment abrogées une fois que des normes harmonisées auront été adoptées.