Règlement européen sur les IC
Pas d'exceptions au RGPD
Il convient de noter au préalable que le règlement sur l'IA contient presque exclusivement des restrictions et des exigences réglementaires concernant l'utilisation de l'IA, par exemple l'exigence d'un marquage CE.
Le grand souhait d'un règlement sur l'IA, à savoir une réglementation sur l'utilisation globale des données à des fins de formation à l'IA ou d'apprentissage automatique, n'est pas satisfait par le biais du règlement sur l'IA. De telles autorisations font presque entièrement défaut. Seule la question de l'utilisation de catégories particulières de données à caractère personnel (par exemple, les données relatives à la santé) fait l'objet d'une certaine simplification. Par conséquent, en ce qui concerne la question de savoir si les données peuvent être utilisées à des fins de formation à l'IA, on en reste aux autres réglementations, notamment au RGPD, dès lors que des données à caractère personnel sont disponibles.
Définition de l'IA
La définition de "l'intelligence artificielle" ou du "système d'IA" selon la terminologie du règlement sur l'IA est actuellement encore très large. Selon cette définition, l'intelligence artificielle est :
un logiciel qui a été développé avec
des approches d'apprentissage automatique et/ou
des approcheslogiques et basées sur la connaissance et/ou
des approchesstatistiques
et qui, pour un ensemble d'objectifs définis par l'homme, peut
produire des résultats (par exemple, des prédictions, des recommandations ou une aide à la prise de décision spécifique)
qui ont une influence sur l'environnement.
Une telle définition risque de couvrir également les "logiciels classiques" qui ne sont pas des IA au sens propre du terme (voir par exemple TensorFlow). Ainsi, une simple calculatrice pourrait déjà être considérée comme basée sur la logique au sens de la définition ci-dessus. Il en va de même, par exemple, pour les "logiciels d'aide à la décision" dans le domaine médical.
En raison des critiques largement exprimées à l'encontre de la définition, il faut s'attendre à ce que le projet de règlement sur l'IA soit encore adapté sur ce point ; les premières réflexions concrètes à ce sujet existent déjà.
Classes de risque
Le règlement sur l'IA distingue trois groupes d'IA :
IA interdite
IA à haut risque
IA à risque simple
L'IA interdite est notamment celle qui fait appel à :
des techniques subliminales au-delà de la perception humaine, susceptibles de causer des dommages physiques ou psychologiques à une personne
l'exploitation des faiblesses de certains groupes de personnes en raison de leur âge ou d'un handicap
Détermination de la fiabilité des personnes physiques par la surveillance de leur comportement social pendant une période donnée, lorsque cette surveillance est effectuée par l'État.
Systèmes de reconnaissance biométrique en temps réel dans l'espace public (à l'exception de certains domaines de l'application de la loi).
LesIA à haut risque sont, entre autres, les IA dans le domaine :
Dispositifs médicaux
infrastructures (de transport) critiques
évaluations de preuves, de certificats ou de solvabilité
accès à l'éducation ou aux parcours professionnels, candidatures, gestion du personnel, composants de sécurité des produits
De nombreux autres domaines couverts par l'IA à haut risque sont définis dans les annexes du règlement sur l'IA.
L'"IA simple" est toute autre intelligence artificielle qui n'est pas interdite ou à haut risque.
Prescriptions réglementaires
Le règlement sur l'IA définit ensuite différentes exigences en fonction de l'IA :
Les exigences suivantes s'appliquent par exemple à toutes les IA:
obligation d'étiquetage/d'information (ex. : chatbots)
Mise à disposition de "sandboxes" pour le contrôle des processus par les États membres.
Pour les IA à haut risque, les exigences suivantes s'appliquent entre autres :
procédure d'évaluation de la conformité par un organisme dit notifié
apposition ultérieure du marquage CE
enregistrement dans une base de données de l'UE
obligation de signaler les défauts détectés
surveillance après la mise sur le marché et surveillance du marché
Système de gestion de la qualité, documentation technique, journalisation automatique
attention portée aux aspects de cybersécurité
supervision humaine de l'IA
Sanctions
En cas de non-respect, des amendes pouvant aller jusqu'à 6 % du chiffre d'affaires annuel mondial ou 30 millions d'euros peuvent notamment être infligées.
Laboratoires de référence en matière d'IA
Le règlement sur l'IA introduit également des " laboratoires de référence en matière d'IA". Dans les laboratoires réels d'IA, les données à caractère personnel collectées légalement à d'autres fins peuvent être traitées pour le développement et l'essai d'un système d'IA si, en outre, notamment :
il existe un intérêt public important pour l'IA (par ex. dans la recherche sur la santé)
l'utilisation d'autres ensembles de données n'est pas possible et n'a pas d'incidence sur les personnes concernées, et que les données à caractère personnel sont ensuite effacées
un environnement de traitement des données fonctionnellement séparé et isolé est disponible.
Cet article fait partie de l'aperçu des changements actuels liés à la stratégie de l'UE en matière de données et au nouveau cadre législatif. Nous attirons votre attention sur le fait que le projet législatif n'est actuellement qu'un projet (bien qu'il soit qualifié de "final"). Il ne s'agit donc pas encore de la législation en vigueur et des modifications peuvent encore intervenir au cours du processus législatif. Toutefois, en raison des "délais de transition" raisonnables, il est d'ores et déjà nécessaire de "regarder" le droit à venir.