Menu
logo

Guide pratique : se préparer au nouveau règlement sur l'intelligence artificielle (IA)

Par Me Julie Prost, Avocat associé Impala Avocats


Guide pratique : se préparer au nouveau règlement sur l'IALe nouveau règlement sur les systèmes d'intelligence artificielle devrait être adopté à l'horizon 2023. Les acteurs concernés ont intérêt à entamer leur mise en conformité dès à présent pour éviter les lourdes sanctions à venir en cas de non-respect.

Contexte du projet de règlement sur l'IA

La Commission européenne a publié le 21 avril 2021 un projet de règlement établissant des règles harmonisées relatives à l'intelligence artificielle (IA).

Selon la Commission, l'IA regroupe des technologies en évolution rapide qui commandent de concilier deux objectifs a priori difficilement compatibles : (i) instaurer des contrôles pour limiter les risques et (ii) encourager l'expérimentation continue. Les contrôles pourraient en effet, freiner le champ de l'expérimentation.

Les contrôles sont prévus à la fois pour limiter les risques d'atteintes aux droits fondamentaux garantis par l'Union européenne (UE) et augmenter la confiance des citoyens dans les systèmes d'IA.

L'expérimentation quant à elle, devra permettre le développement de l'innovation pour que l'UE reste compétitive sur la scène internationale. La Vice-Présidente de l'UE, Margrethe Vestager, déclarait lors de la présentation du projet qu'"avec ces règles qui feront date, l'UE prend l'initiative d'élaborer de nouvelles normes mondiales qui garantiront que l'IA soit digne de confiance. En matière d'intelligence artificielle, la confiance n'est pas un luxe, mais une nécessité absolue" https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_1682.

Cette nouvelle réglementation s'inscrit dans une logique prospective en anticipant les différents cas d'usage que l'IA pourrait faire éclore. À travers une approche fondée sur les risques, elle instaure des règles au carrefour du droit et de l'éthique.

La durée classique de la procédure législative devrait permettre une entrée en vigueur du règlement, avec la consultation du Parlement, d'ici à l'horizon 2023. Des ajustements à la version actuelle du projet pourront être effectués d'ici là mais ceux-ci ne devraient, en principe, pas être substantiels. Enfin, le règlement étant un texte d'application immédiate, aucune procédure de transposition dans l'ordre national ne sera nécessaire pour qu'il soit applicable.

Les entités concernées ont donc tout intérêt à entamer une réflexion sur la mise en conformité dès à présent pour éviter les lourdes sanctions à venir en cas de non-respect. Les autorités seront habilitées à prononcer des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel total d'une entreprise, le montant le plus élevé étant retenu. Le manquement à l'obligation de surveiller, détecter et corriger les biais par une politique de gouvernance des données adéquate sera quant à lui sanctionné par une amende pouvant atteindre 30 millions d'euros ou 4 % du chiffre d'affaires (500 000 € pour les institutions, agences et organes de l'UE). Enfin, le manquement aux obligations d'information à délivrer aux organismes notifiés et aux autorités nationales compétentes en réponse à une demande sera passible d'une amende de 10 millions d'euros ou de 2 % du chiffre d'affaires.

Pour accompagner ces acteurs (organisations, entreprises, start-up etc.), nous avons élaboré une méthode en six étapes.

1) Déterminer les produits ou services concernés

La Commission européenne emploie le terme de "système d'intelligence artificielle" défini comme un logiciel développé à partir d'une ou plusieurs techniques listées en annexe du projet et qui "peut, pour un ensemble donné d'objectifs définis par un être humain, générer des résultats de sortie tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit" (Projet art. 3,1).

Les techniques concernées visent les systèmes auto-apprenants ou "machine learning", basés sur de l'apprentissage supervisé, profond et/ou par renforcement, les systèmes logiques qui suivent une trame logique prédéterminée pour parvenir à un résultat et les systèmes statistiques couvrant les estimations bayésiennes, les méthodes de recherche et d'optimisation.

Conseil pratique : établir une liste complète des produits ou services basés sur un système d'intelligence artificielle, qu'ils soient à usage interne ou externe, lorsqu'ils font l'objet d'une mise sur le marché ou d'une mise en service par l'entreprise.

2) Déterminer le rôle endossé

Les acteurs visés par le texte, également désignés par le terme "opérateurs", sont le fournisseur, l'utilisateur, le mandataire, l'importateur et le distributeur (Projet art. 3, 8) :

  • Le fournisseur d'intelligence artificielle devient le pivot de la réglementation. Il est la personne physique ou morale, l'agence ou tout autre organisme qui développe ou possède un système d'IA en vue de sa mise sur le marché ou de sa mise en service, sous son propre nom ou sa propre marque, à titre onéreux ou gratuit (Projet art. 3, 2). La qualité de fournisseur s'applique également à celui qui en modifie la destination ou qui en apporte une modification substantielle, faisant disparaître la qualité de fournisseur du premier ;
  • L'importateur est la personne établie dans l'UE mettant sur le marché un système d'intelligence artificielle sur lequel figure le nom ou la marque d'une personne établie hors UE (Projet art. 3, 6) ;
  • Le distributeur est une personne physique ou morale autre que le fournisseur ou l'importateur, qui dans la chaîne d'approvisionnement rend disponible un système d'intelligence artificielle sans en affecter ses propriétés (Projet art. 3, 7) ;
  • L'utilisateur est la personne physique ou morale, l'autorité publique, l'agence ou autre organisme, qui utilise un système d'IA, l'utilisation à des fins personnelles étant toutefois exclue (Projet art. 3, 4).

Seule la personne ayant apposé son nom ou sa marque sur un système d'IA pourra voir engager sa responsabilité en cas de défaillance dudit système.

Conseil pratique : déterminer pour chaque système d'IA identifiés lors de l'étape 1, quel est le rôle de l'organisation (fournisseur, importateur, utilisateur, etc.). Ce travail permettra également d'initier une réflexion sur les mécanismes de responsabilité dans la chaîne contractuelle entre les différents protagonistes de l'IA (voir infra). Ainsi le fournisseur d'IA ayant apposé sa marque sur des systèmes d'IA importés pourra négocier avec les fabricants des mécanismes de recours et de garantie pour le cas où, par exemple, les systèmes d'IA causeraient des dommages à leurs utilisateurs.

3) Classifier les produits et/ou services par niveau de risques

La Commission distingue trois catégories d'intelligence artificielle selon que les risques liés à leur usage sont inacceptables (a), élevés (médecine, justice, recrutement, crédit etc.) (b) ou acceptables (c).

Une dernière catégorie, à part, concerne des systèmes d'IA faisant l'objet d'une réglementation spécifique (d).

Si un système d'IA ne fait pas partie de l'une de ces catégories, le texte considère que les risques sont inexistants et que le système n'est pas soumis à la réglementation. Toutefois, le champ d'application des systèmes d'IA à risque élevé est si large que nous recommandons, par défaut, de considérer tout système comme étant à risque élevé.

a) Les IA à risques inacceptables

La liste des pratiques interdites inclut tous les systèmes d'IA dont l'utilisation est considérée contraire aux valeurs de l'Union. Par exemple, en raison de violations des droits fondamentaux. La proposition de règlement interdit les systèmes d'intelligence artificielle :

  • lorsqu'ils recourent à des techniques subliminales au-dessous du seuil de conscience d'une personne, pour altérer substantiellement son comportement, pouvant causer un préjudice physique ou psychologique à cette personne ou à un tiers,
  • lorsqu'ils exploitent la vulnérabilité due à l'âge ou au handicap physique ou mental d'un groupe de personnes donné pour altérer substantiellement le comportement d'un membre de ce groupe, pouvant causer un préjudice physique ou psychologique à cette personne ou à un tiers,
  • lorsqu'ils reposent sur une logique de notation sociale,
  • lorsqu'ils permettent une identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives, sauf exception (et sous conditions très encadrées).

La mise sur le marché de l'une de ces catégories d'IA pourra entraîner le prononcé d'une amende administrative pouvant atteindre 30 millions d'euros ou 6 % du chiffre d'affaires annuel mondial total d'une entreprise, le montant le plus élevé étant retenu (Projet art. 71, 3°).

Conseil pratique : réaliser une analyse d'impact, en amont, avant d'engager des ressources sur un projet d'IA à risques inacceptables. Les entreprises pourront à ce stade envisager des solutions alternatives pour rendre leurs projets plus éthiques et leur permettre d'être classifiés comme des IA à hauts risques ou risques acceptables.

b) Les IA à haut risque

Ces systèmes d'IA à haut risque (ou risques élevés) sont autorisés sur le marché européen sous réserve du respect de certaines obligations et d'une évaluation préalable de la conformité (voir infra).

Le projet de règlement définit deux grands types de systèmes d'IA à hauts risque, à savoir :

  • ceux destinés à être utilisés en tant que composants de sécurité de produits, qui font l'objet d'une évaluation préalable de la conformité ;
  • les autres systèmes, autonomes, qui soulèvent principalement des questions quant au respect des droits fondamentaux et qui sont explicitement énumérés à l'annexe III.

Conseil pratique : réaliser une analyse pratique de chaque système d'IA, afin de déterminer s'il appartient à l'une de ces nombreuses catégories. Cette classification permettra d'anticiper la mise en conformité du système d'IA telle que définie ci-après.

c) Les IA à risques acceptables

Les risques acceptables ne sont pas définis dans le projet de règlement. La catégorie des systèmes d'IA à haut risque est si large qu'il est difficile à ce stade de prédire quels systèmes d'IA pourraient être qualifiés d'IA à risques acceptables.

Conseil pratique : pour anticiper l'évolution d'un système d'intelligence artificielle et de ses fonctionnalités, nous recommandons par défaut de considérer tout système d'IA comme étant à risques élevés. Bien que la mise en conformité à la réglementation implique de mettre en oeuvre des démarches plus ou moins lourdes d'un point de vue organisationnel, elle a le mérite d'assurer le respect de bonnes pratiques par les équipes et de réduire le risque d'impact sur les droits fondamentaux des utilisateurs d'IA. D'ailleurs, le titre IX du projet de règlement établit un cadre pour la création de codes de conduite visant à encourager les fournisseurs de systèmes d'IA ne présentant pas de risque élevé à appliquer volontairement les exigences obligatoires pour les systèmes d'IA à haut risque.

d) Les autres systèmes d'IA réglementés

Selon le projet de règlement, lorsque des personnes interagissent avec un système d'IA ou que leurs émotions ou caractéristiques sont reconnues par des moyens automatisés, elles doivent en être informées. Cette catégorie vise plusieurs systèmes d'IA, qu'ils soient :

  • destinés à interagir avec des personnes physiques : les fournisseurs de ce type de système doivent s'assurer qu'ils sont conçus de manière à ce que les utilisateurs aient conscience qu'ils communiquent avec une entité artificielle ;
  • de reconnaissance des émotions et de catégorisation biométrique : le projet de règlement impose le recueil du consentement pour le recours à ce type d'instrument ;
  • de "deep fake" c'est-à-dire manipulant une image, un son ou une vidéo qui ressemblent à des personnes, choses ou autres entités ou évènements existants afin d'en générer un contenu apparaissant à tort comme étant la réalité : les personnes devront être informées que le contenu consulté a été généré artificiellement, sauf si les systèmes ont été autorisés par la loi et sont destinés à détecter, prévenir, enquêter et poursuivre des infractions pénales.

Conseil pratique : mener une réflexion sur le format et le contenu de l'information à destination des utilisateurs de ces IA afin de la rendre la plus compréhensible possible.

4) Organiser la mise en conformité préalable

Le projet impose une mise en conformité du système d'IA à haut risque (la catégorie la plus répandue) avant sa mise sur le marché. Les systèmes en question devront satisfaire à un ensemble d'exigences garantissant une IA digne de confiance, portant notamment sur : les données et leur gouvernance, la documentation et la tenue de registres, la transparence et la fourniture d'informations aux utilisateurs, le contrôle humain, la robustesse, l'exactitude et la sécurité.

En particulier, le titre IV du projet de règlement impose des obligations à certains systèmes d'IA en raison des risques spécifiques de manipulation qu'ils présentent. Ainsi, des obligations de transparence s'appliqueront aux systèmes qui i) interagissent avec les humains, ii) sont utilisés pour détecter des émotions ou déterminer l'association avec des catégories (sociales) sur la base de données biométriques, ou iii) générer ou manipuler des contenus (trucages vidéo ultra-réalistes).

Pour les systèmes d'IA à risques élevés, le fournisseur (défini ci-avant) devra effectuer les opérations suivantes :

a) Evaluer la conformité : pour les systèmes d'IA à haut risque, le fournisseur doit pouvoir démontrer qu'il a bien appliqué les normes harmonisées visées à l'article 40 ou, le cas échéant, les spécifications communes visées à l'article 41. Pour ce faire, il doit suivre l'une des procédures suivantes : une procédure d'évaluation de la conformité fondée sur le contrôle interne (visée à l'annexe VI) ; ou une procédure d'évaluation de la conformité fondée sur l'évaluation du système de gestion de la qualité et l'évaluation de la documentation technique, avec l'intervention d'un organisme notifié (visée à l'annexe VII).

b) Gérer les risques : en mettant en place des mesures de gestion des risques (Projet art. 9) grâce à un système de surveillance post-commercialisation documenté, destiné à évaluer la performance du système d'IA tout au long de sa vie (Projet art. 61). La politique de gestion des risques doit permettre d'assurer un niveau de risque acceptable lorsque le système d'IA à haut risque est utilisé conformément à sa destination ou dans des "conditions de mauvaise utilisation raisonnablement prévisible". Elle nécessite d'identifier et analyser les risques connus et prévisibles, d'estimer et évaluer les risques susceptibles d'apparaître, d'évaluer d'autres risques susceptibles d'apparaître grâce à l'analyse des données post-commercialisation et d'adopter des mesures appropriées de gestion des risques.

c) Lutter contre les biais : en instaurant une surveillance, détection et correction des biais grâce à une politique contraignante de gouvernance des données d'entraînement, de validation et de test (Projet art. 10). Les jeux de données d'entraînement, de validation et de test devront être sélectionnés selon de bonnes pratiques définies dans le projet de règlement, permettant de s'assurer qu'ils sont pertinents, représentatifs, exempts d'erreurs, complets et tiennent comptent des caractéristiques ou éléments propres au contexte géographique, comportemental ou fonctionnel spécifique dans lequel le système d'IA à haut risque est destiné à être utilisé.

d) Rédiger une documentation technique : celle-ci doit être conforme aux exigences de la réglementation (Projet art. 11). A ce titre, un certain nombre de documents doivent être conservés et mis à la disposition des autorités nationales durant dix ans après la mise sur le marché ou la mise en service du système d'IA (Projet art. 50).

e) Le fournisseur devra en outre :

  • assurer une journalisation des événements (Projet art. 12) pendant le fonctionnement du système ;
  • informer les utilisateurs, selon les préconisations de la réglementation (Projet art. 13).
  • assurer une surveillance humaine (Projet art. 14), notamment au moyen d'interfaces homme-machine appropriées. Le contrôle humain vise à prévenir ou à réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux ;
  • assurer la robustesse, la sécurité et l'exactitude des données ;
  • apposer le marquage CE, pour démontrer la conformité au règlement ;
  • informer les autorités compétentes en cas d'incident grave ou de dysfonctionnement (Projet art. 22 et 62) et coopérer avec elles.

Si le fournisseur n'est pas établi sur le territoire de l'UE et qu'un importateur ou un distributeur est identifiable, celui-ci devra s'empêcher d'importer un système d'IA non conforme. Pour le cas où aucun importateur ne serait identifiable, un mandataire désigné devra justifier de la conformité aux exigences précitées.

Conseil pratique : la mise en conformité d'un système d'IA implique une réflexion stratégique en amont pour pouvoir en aval, définir des procédures adaptées à l'organisation de l'entreprise et conformes à la réglementation. Tous les maillons de la chaîne devront pouvoir être sensibilisés aux bonnes pratiques et à l'éthique en matière d'IA afin de limiter les risques liés à une utilisation qui ne serait pas totalement maîtrisée. En outre, des systèmes d'audit réguliers, la mise en place de règles de sécurité conformes aux standards de l'ANSI et une vigilance permanente doivent permettre de gagner en sérénité dans le déploiement d'une IA digne de confiance.

Nous recommandons d'entamer dès à présent la rédaction d'une documentation fournie sur le fonctionnement du système d'IA ainsi que la rédaction d'un guide d'utilisation (voir infra), de tracer et qualifier les données d'entraînement, de décrire comment les éventuels biais seront suivis et corrigés ainsi que les règles de sécurité mises en place, de prévoir une procédure de rappel des produits d'IA non conformes.

5) Définir les obligations des utilisateurs

Des obligations spécifiques seront également mises à la charge des utilisateurs de systèmes d'IA ayant la qualité de professionnel.

Le projet de règlement prévoit également la communication d'informations spécifiques à tous les utilisateurs, dans une annexe dédiée. Ces informations portent notamment sur la conformité aux instructions d'utilisation et suspension d'utilisation en cas de doute sur la conformité du système, conservation des journaux générés automatiquement et lorsqu'ils exercent un contrôle sur les données d'entrée du système, veille sur la pertinence de ces données (Projet art. 29).

Conseil pratique : les fournisseurs ou distributeurs de systèmes d'IA ont tout intérêt à rédiger une documentation détaillée et des guides d'utilisation pédagogiques à destination des utilisateurs afin de faciliter l'usage de leurs systèmes mais aussi de limiter leurs risques en responsabilisant les utilisateurs desdits systèmes.

6) Encadrer les relations avec chaque maillon de la chaîne

En fonction des rôles et responsabilités de chaque opérateur mais également en fonction des risques identifiés dans les étapes précédentes, les opérateurs pourront encadrer contractuellement entre eux les obligations et les responsabilités leur afférant tout au long du cycle de vie d'un système d'IA. Les clauses de responsabilité et de recours en garantie entre opérateurs devront faire l'objet d'une rédaction la plus pertinente possible pour assurer une juste répartition des risques entre eux selon leur degré d'implication.

Conclusion

Le projet de règlement fera certainement l'objet d'adaptations aux termes du processus législatif visant à l'adopter. Les obligations et les responsabilités qu'il implique nécessitent que l'ensemble des opérateurs des systèmes d'IA entament dès aujourd'hui une réflexion sur leur mise en conformité à venir et commencent à imaginer des procédures internes visant à garantir des systèmes d'IA dignes de confiance.

Julie Prost
Avocat Associé
impala-avocats.com
7 juillet 2022

Publié le 8 juillet 2022 par Emmanuel Forsans
Signaler une erreur

Commentaires des lecteurs

Soyez le premier à commenter cette information.
  • Share
  • Follow