Si l’intelligence artificielle (IA) est avant tout un sujet scientifique et technologique, il ne peut plus être traité aujourd’hui sans aborder la question de ses enjeux éthiques et de conformité. C’est dans ce contexte que les instances européennes ont décidé d’élaborer un cadre réglementaire horizontal et commun pour l’IA destinée à construire un écosystème d’excellence et de confiance, premier exemple mondial.

Les systèmes d’intelligence artificielle (IA) sont aujourd’hui une ressource clé des organisations. Aucun secteur n’échappe à leur développement et leur utilisation concerne de multiples produits et services, tant publics que privés. Cependant, si l’IA est facteur de développement et d’accélération de la "valeur" pour les entreprises, il présente dans le même temps, du fait de sa puissance, des craintes et des limites.

Conscient de ces enjeux, le gouvernement avait confié en 2017 au député Cédric Villani une mission parlementaire ayant pour objectif de donner "un sens", "un cap" à l’intelligence artificielle. Le rapport publié le 28 mars 2018 soulignait notamment que, pour se lancer dans cette "révolution", il était nécessaire de penser un cadre commun au niveau européen.

C’est le travail engagé depuis plusieurs mois par la Commission européenne qui donnera lieu, dans les mois à venir, à l’"AI Act". Nul besoin cependant d’attendre l’entrée en vigueur de ce texte pour mesurer les enjeux concrets liés à l’IA au sein des organisations qui sont incitées à prendre sans attendre des mesures concrètes pour intégrer "by design" la contrainte réglementaire et la transformer en opportunité de marché.

1. Un cadre réglementaire en projet pour une IA de confiance

La proposition de règlement.

Le 21 avril 2021, la Commission européenne a publié sa proposition de règlement dans l’objectif de poser un cadre juridique pour une IA sûre et digne de confiance. La proposition établit des règles harmonisées pour le développement, la mise sur le marché et l’utilisation de systèmes d’IA dans l’Union. Le travail parlementaire autour du texte se poursuivra jusqu’au second semestre pour une entrée en application, en principe, prévue en 2024.

La définition des acteurs et systèmes d’IA.

La proposition de texte qualifie les "opérateurs" principaux intervenant dans la chaîne de valeur de l’IA – fournisseur, utilisateur, mandataire, importateur et distributeur - et vient leur assigner, de façon proportionnelle à leur implication, des obligations. Le texte classe en outre les systèmes d’IA en fonction de leur niveau de risques en distinguant :

- (i) les systèmes d’IA qui créent un risque inacceptable et sont interdits ;

- (ii) les systèmes "à hauts risques" qui sont soumis à des exigences spécifiques et qui doivent faire l’objet de procédures d’évaluation de la conformité (marquage CE) avant de pouvoir être mis sur le marché de l’Union ;

- (iii) les systèmes "standards" ou "d’usage général" dont l’utilisation présente un risque faible et qui sont soumis à des obligations minimales en matière de transparence.

Des outils concrets pour favoriser la confiance.

Explicabilité et traçabilité sont prévues comme des solutions aux difficultés posées par la complexité, l’opacité, les biais, le degré d’imprévisibilité et le comportement partiellement autonome de certains systèmes d’IA. En outre, la proposition souligne la nécessité de garantir le contrôle humain, qui vise à prévenir ou à réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux lors de l’utilisation d’un système d’IA.

"(…) prendre sans attendre des mesures concrètes pour intégrer “by design” la contrainte réglementaire et la transformer en opportunité de marché"

2. Un système fondé sur les risques exposant à des sanctions

Un système de gouvernance à deux niveaux. Le contrôle de l’application du texte sera assuré par (i) la création d’un Comité européen de l’intelligence artificielle ainsi que (ii) la mise en place d’une autorité de contrôle nationale qui sera placée sous la surveillance du CEPD (Contrôleur européen de la protection des données). En France, la Cnil a déjà largement entamé son travail de publication sur le sujet, via notamment un guide d’autoévaluation et de bonnes pratiques destiné à permettre aux opérateurs (fournisseurs et utilisateurs notamment) d’évaluer la maturité de leur système d’IA.

Les sanctions. L’effectivité de la réglementation sera garantie par la mise en oeuvre d’un système de sanctions et d’amendes administratives proportionnées (selon les manquements) mais dissuasives pouvant aller jusqu’à 30 000 000 d’euros ou, jusqu’à 6 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent.

3. L’articulation avec les législations existantes

Les dispositions de l’IA Act devront nécessairement être articulées avec l’ensemble des règles qui s’appliquent déjà aux systèmes d’IA autonomes ou embarqués tant au niveau européen – via le RGPD notamment – qu’au niveau national.

L’article L. 4001-3 du Code de la santé publique issu de la loi n° 2021-1017 du 2 août 2021 portant révision de la loi bioéthique est déjà venu consacrer des obligations à la charge des concepteurs de dispositifs médicaux "comportant un traitement de données algorithmique dont l’apprentissage a été réalisé à partir de données massives" pour "un acte de prévention, de diagnostic ou de soin".

D’autres réglementations, ne visant pas spécifiquement les systèmes d’intelligence artificielle, viennent, tant au stade de leur développement que de leur utilisation, leur offrir un cadre et ainsi, une protection. Au stade du développement de l’IA et de sa valorisation, ce sont principalement des enjeux de propriété intellectuelle dont il est question : définir ce qui est protégeable de ce qui ne l’est pas, identifier les outils de protection (droit d’auteur, droit des bases de données, brevets) et encadrer l’accès et l’utilisation des données.

Dans le cadre de leur utilisation (en matière de recrutement par exemple via des logiciels de tri des CV et des profils des candidats, les algorithmes pour analyser les tests de personnalité), la prohibition des pratiques discriminatoires vient déjà exposer les acteurs (ici les employeurs utilisateurs du système d’IA) à des sanctions.

4. Une anticipation nécessaire pour éviter "le choc réglementaire"

Des mesures concrètes. Les opérateurs sont incités à engager dès maintenant un travail de cartographie, de qualification, de traçabilité, de suivi, d’évaluation et de contrôle de leurs systèmes d’IA et de leurs usages ; autant d’éléments qui nourriront la documentation technique dont ils devront demain obligatoirement se doter.

Enfin, au niveau des ressources humaines cela implique une adaptation des postes, l’embarquement et la formation des collaborateurs (via le change management), car à l’évidence, "la confiance dans l’IA" au sein des organisations et plus largement, de la société, ne se fera pas sans leur adhésion.

SUR LES AUTEURS

Associées au sein du cabinet Beslay + Avocats fondé en 2003, Nathalie Beslay et Olivia Rime accompagnent les clients du secteur de la santé tant en conseil qu’en contentieux dans la définition de leur stratégie d’accès au marché, de développement et de gestion des risques en particulier sur des métiers, produits et services innovants.

GUIDE ET CLASSEMENTS

> Guide 2024

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail