Retour à -

Règlement de l'UE sur les IC

Avec son projet actuel de règlement 2021/0106 (COD) sur l'IA, la Commission européenne a présenté - pour autant qu'on puisse le voir - le premier cadre juridique global au monde pour la réglementation de l'IA. La réglementation devrait entrer en vigueur fin 2022 - selon le plan de la Commission européenne. Toutefois, une participation du Parlement européen et du Conseil est encore nécessaire auparavant. Le processus législatif n'est donc pas encore terminé et des modifications peuvent encore intervenir. Néanmoins, il est d'ores et déjà très important pour les fabricants d'intégrer les réglementations à venir dans la planification de leurs produits. Voici un premier aperçu du règlement sur l'IA :

Quels systèmes et logiciels d'IA sont couverts ?

Le règlement sur l'IA oblige les fournisseurs, les utilisateurs, les importateurs, les distributeurs et les opérateurs d'IA à respecter et à mettre en œuvre différentes obligations. Les réglementations s'appliquent indépendamment du siège du fournisseur, c'est-à-dire dans le monde entier.

Le règlement sur l'IA concerne l'IA sous forme de logiciels autonomes. Mais il s'applique également à l'IA sous forme de logiciels embarqués.

Le règlement sur l'IA contient désormais une définition légale des systèmes d'IA, y compris des logiciels d'IA. Le texte anglais du règlement, qui est actuellement le seul disponible, contient la disposition suivante :

Un 'système d'intelligence artificielle' (AI) est un logiciel qui est développé à l'aide d'une ou de plusieurs des techniques et approches énumérées à l'annexe I et qui peut, pour un ensemble donné d'objectifs définis par l'homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ;

L'annexe I à laquelle il est fait référence régit :

(a) les approches d'apprentissage automatique, y compris l'apprentissage supervisé, non supervisé et par renforcement, en utilisant une grande variété de méthodes, y compris l'apprentissage en profondeur ;

(b) les approches logiques et basées sur la connaissance, y compris la représentation de la connaissance, la programmation (logique) inductive, les bases de connaissances, les moteurs d'inférence et de déduction, le raisonnement (symbolique) et les systèmes experts ;

(c) les approches statistiques, l'estimation bayésienne, les méthodes de recherche et d'optimisation.

La tentative de définition est à saluer. Toutefois, de nombreuses difficultés de délimitation et de classification se poseront. Conformément à la définition ci-dessus, les questions ne font que se déplacer de la définition du logiciel d'IA vers d'autres concepts, comme celui de l'apprentissage automatique.

Approche basée sur le risque et objectifs en fonction du risque de l'IA

Le règlement sur l'IA s'inscrit dans le nouveau cadre législatif (NLF) de l'UE. On y trouve de nombreuses règles qui dépendent du risque que représente une IA pour les humains. Il convient donc de distinguer trois "niveaux de risque" :

1er niveau : exigences de base pour toute IA

Le règlement sur l'IA contient de nombreuses exigences de nature générale pour les IA. A titre d'exemple, nous attirons l'attention sur les points suivants :

  • L'utilisation de l'IA vis-à-vis des consommateurs doit être reconnaissable pour le consommateur. Cela vaut par exemple pour les interactions basées sur l'IA via des chatbots.

  • Les deep fakes générés par l'IA doivent être identifiés. Les deep fakes sont par exemple des vidéos réalistes de personnes créées par IA, dans lesquelles on peut reconnaître des actions et des déclarations de ces personnes qu'elles n'ont jamais faites ou exprimées. (Indépendamment de l'obligation d'identification, la question de la licéité doit par ailleurs être évaluée, par exemple au regard du droit de la personnalité des personnes représentées).

  • En outre, un instrument issu du domaine de la sécurité informatique est désormais prévu, à savoir les " sandboxes". Celles-ci doivent notamment être mises à disposition par les États membres afin de pouvoir vérifier le déroulement de l'IA. Les petites entreprises et les start-ups doivent pouvoir bénéficier d'un accès préférentiel aux sandboxes. La responsabilité de l'expérimentation au sein du Sandbox doit rester à la charge des participants au Sandbox.

2e étape : IA à haut risque

Les fournisseurs d'IA à haut risque doivent entre autres :

  • Mettre en œuvre une procédure d'évaluation de la conformité . Dans un niveau de risque faible, le fournisseur peut le faire lui-même. Pour les niveaux de risque plus élevés, il doit faire appel à un organisme notifié externe.

  • apposer un marquage CE après l'évaluation de la conformité.

  • enregistrer l'IA dans une base de données de l'UE

  • signaler les erreurs aux autorités

  • surveiller l'IA sur le marché(surveillance post-marché et surveillance du marché) ;

  • mettre en place un système de gestion de la qualité

  • établir une documentation technique

  • prévoir une journalisation automatique

  • garantir la précision, la robustesse et la cybersécurité.

Une supervision humaine de l'IA doit également être possible.

3e niveau : IA interdite

En outre, il existe certains domaines dans lesquels une IA est interdite. Il s'agit principalement de :

  • L'utilisation de techniques subliminales au-delà de la perception humaine ;

  • L'exploitation des faiblesses de certains groupes de personnes en raison de leur âge ou d'un handicap ;

  • La détermination de la fiabilité des personnes physiques par la surveillance de leur comportement social sur une période donnée, lorsque cette surveillance est effectuée par les pouvoirs publics ;

  • Les systèmes de reconnaissance biométrique en temps réel dans l'espace public ;

Infractions et sanctions

Des autorités de surveillance de l'IA seront également créées au niveau des États membres (c'est-à-dire dans chaque État membre conformément à sa législation nationale). Ces autorités de surveillance de l'IA se verront attribuer des compétences techniques en partie étendues. Par exemple, un accès complet aux données d'entraînement sera possible via une API.

En cas de non-respect du règlement sur l'IA, des amendes pouvant atteindre 6 % du chiffre d'affaires annuel mondial ou 30 millions d'euros seront infligées.

Résumé et évolution future

La présentation ci-dessus se réfère au premier projet de règlement sur les IA, dont les détails seront certainement modifiés. Sur ce point, il convient de suivre de près l'évolution. En outre, il est important de tenir compte dès à présent du cadre juridique prévisible lors de la conception de produits. En particulier pour les fabricants qui, jusqu'à présent, produisaient en dehors de toute procédure d'évaluation de la conformité, la nouvelle approche concernant les procédures d'évaluation de la conformité, l'implication des organismes notifiés et l'apposition du marquage CE, ainsi que la documentation technique nécessaire, pourrait signifier que de nouvelles structures de processus importantes sont nécessaires dans les entreprises. En revanche, d'autres entreprises, comme les fabricants de dispositifs médicaux, seront en mesure d'"arrimer" les nouvelles réglementations aux processus déjà en place dans l'entreprise, même si elles impliquent des efforts supplémentaires.

Le résumé ci-dessus est une présentation faite par l'auteur le 06.07.2021 dans le cadre des Journées de l'innovation 2021 de Tübingenau CyberValley Tübingen et Technologiepark Tübingen-Reutlingen.

Version : 7. juil. 2021