Loi sur l’intelligence artificielle de l’UE : un accord révolutionnaire façonne l’avenir de la réglementation de l’IA

Le 9 décembre 2023, un accord provisoire sur la législation sur l’intelligence artificielle (« loi sur l’IA ») (« accord provisoire ») a été conclu entre le président du Conseil et le Parlement européen. Ce règlement révolutionnaire vise à garantir la sécurité des systèmes d’IA dans l’UE et leur respect des valeurs et des droits fondamentaux. La loi sur l’IA devrait s’appliquer deux ans après son entrée en vigueur, et certaines exceptions pourraient être accordées pour des dispositions particulières.

La loi sur l’IA a été élaborée dans le but de favoriser le développement et l’implantation sécuritaire et fiable de l’IA dans l’ensemble de l’UE. Elle prévoit une approche de la réglementation axée sur les risques et des règles plus strictes pour les systèmes d’IA à haut risque. L’UE veut se positionner comme un leader mondial en matière de réglementation sur l’IA, comme dans le cas du Règlement général sur la protection des données (« RGPD »), qui a influé sur les lois mondiales sur la protection des données et des renseignements personnels depuis son entrée en vigueur il y a environ cinq ans.

Dans cette optique, les organisations canadiennes, aussi bien les concepteurs que les utilisateurs d’outils d’IA, auraient avantage à connaître la loi sur l’IA et à surveiller sa mise en œuvre au cours des mois et des années à venir, et à s’informer des développements entourant la Loi sur l’intelligence artificielle et les données (la « LIAD ») du Canada proposée.

Outre les discussions sur la LIAD, des avancées importantes ont été réalisées au Canada. Comme nous l’avons déjà mentionné, le Canada a publié un Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés, et le Commissariat à la protection de la vie privée du Canada a publié une déclaration commune avec les commissariats à la protection de la vie privée d’autres provinces concernant l’utilisation responsable de l’IA générative.

Définitions et étendue

Fixer la portée de la loi sur l’IA dépend en grande partie de la définition du terme « système d’IA ». L’Union européenne s’est toujours engagée à s’aligner sur les normes mondiales. Aussi les décideurs de l’UE ont-ils élaboré la définition finale du terme « système d’IA » à partir de la version la plus récente fournie par l’OCDE. La définition proposée est la suivante :

Un système d’intelligence artificielle désigne un logiciel développé au moyen de techniques et d’approches [spécifiques] qui peut, pour un ensemble donné d’objectifs définis par l’humain, générer des résultats en sortie tels que du contenu, des prévisions, des recommandations ou des décisions qui influent sur les environnements avec lesquels ils interagissent.

La LIAD propose plutôt la définition suivante :

Un système d’intelligence artificielle désigne un système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l’activité humaine par l’utilisation d’algorithmes génétiques, de réseaux neuronaux, d’apprentissage automatique ou d’autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisions.

Cette différence a été remarquée par le ministre de l’Innovation, des Sciences et du Développement économique Canada, François-Philippe Champagne, parmi d’autres changements recommandés.

L’accord prévoit de nouvelles dispositions relatives aux systèmes d’IA à finalité générale polyvalents, qui peuvent être intégrés dans d’autres systèmes à haut risque. Des règles particulières ont été établies pour les modèles de base et les grands systèmes d’IA dotés de capacités étendues. Ces modèles doivent remplir des obligations de transparence, et des exigences plus strictes sont imposées aux modèles de base à fort impact présentant un potentiel de risque systémique important.

Classification des systèmes d’IA

L’accord provisoire sur la loi sur l’IA prévoit un cadre de protection qui classe les systèmes d’IA en fonction de leur potentiel de risque. Il impose des obligations de transparence moins strictes pour les systèmes d’IA qui présentent un faible risque. L’une de ces obligations consiste à déclarer le contenu généré par l’IA afin de permettre aux utilisateurs de prendre des décisions éclairées au sujet de son utilisation.

En revanche, un large éventail de systèmes d’IA à haut risque seront autorisés à accéder au marché de l’UE, mais seulement s’ils satisfont à des exigences et obligations précises. Ces exigences, modifiées pour des raisons de faisabilité technique et de réduction du fardeau imposé, englobent des aspects comme la qualité des données et la documentation technique nécessaire, en particulier pour les petites et moyennes entreprises (« PME »).

Par ailleurs, l’accord provisoire définit les rôles et responsabilités des différents acteurs des chaînes de valeur des systèmes d’IA, notamment 1) les fournisseurs et 2) les utilisateurs des systèmes. Il intègre ces rôles aux obligations existantes en vertu d’autres législations de l’UE, comme les lois sur la protection des données et celles qui s’appliquent à des secteurs en particulier.

Systèmes présentant des risques inacceptables

L’accord définit également des utilisations particulières de l’IA qui présentent des risques inacceptables et, de ce fait, elle les interdit au sein de l’UE. Par exemple, les pratiques suivantes sont interdites :

• la manipulation cognitivo-comportementale,
• l’extraction non ciblée d’images faciales sur Internet et par vidéosurveillance,
• la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement,
• la notation sociale,
• la catégorisation biométrique à des fins d’inférence de données sensibles, et
• certains types de maintien de l’ordre prédictif.

Dispositions particulières ou exceptions pour les services répressifs et les systèmes d’IA à usage général

L’accord provisoire sur la loi sur l’IA comprend des considérations particulières pour les services répressifs. Il reconnaît leurs besoins uniques en matière de répression et leur permet d’utiliser des outils d’IA à haut risque dans des situations urgentes, tout en garantissant la protection des droits fondamentaux. Il permet l’utilisation des systèmes d’identification biométrique à distance en temps réel dans les espaces publics sous réserve de conditions strictes, comme la recherche de victimes de crimes graves ou la prévention d’une menace imminente.

L’accord prévoit de nouvelles dispositions relatives aux systèmes d’IA à usage général polyvalents, qui peuvent être intégrés dans d’autres systèmes à haut risque. Des règles particulières ont été établies pour les modèles de base et les grands systèmes d’IA dotés de capacités étendues. Ces modèles doivent remplir des obligations de transparence, et des exigences plus strictes sont imposées aux modèles de base à fort impact présentant un potentiel de risque systémique important.

Structure de gouvernance

Une nouvelle structure de gouvernance sera également mise en place : elle comprendra notamment, au sein de la Commission, un bureau de l’IA chargé de superviser les modèles d’IA avancés et soutenu par un groupe de scientifiques, ainsi qu’un conseil de l’IA composé de représentants des États membres. Ce conseil fera office d’organisme consultatif et coordonnera la mise en œuvre du règlement.

Sanctions

Les sanctions prévues en cas de non-conformité sont lourdes – les amendes correspondent à un pourcentage du chiffre d’affaires annuel mondial de l’entreprise ou à un montant prédéterminé, selon le plus élevé des montants. Des dispositions prévoient toutefois des sanctions plus raisonnables pour les PME et les entreprises en démarrage. Les personnes physiques et morales peuvent déposer des plaintes pour non-respect de la loi, lesquelles seront traitées par les autorités compétentes.

Transparence

L’accord souligne l’importance d’effectuer une étude d’impact sur les droits fondamentaux avant de déployer des systèmes d’IA à haut risque. Les entreprises doivent respecter des exigences de transparence plus strictes, en particulier les entités publiques qui utilisent des systèmes d’IA à haut risque, et elles sont tenues d’informer les personnes ciblées par un système de reconnaissance des émotions.

L’accord provisoire modifie les dispositions visant à soutenir l’innovation afin de créer un cadre juridique plus propice à l’innovation. Il prévoit notamment l’utilisation de « bacs à sable réglementaires » permettant de tester les systèmes d’IA dans des environnements réels dans des conditions précises et moyennant des garanties convenues. Il décrit par ailleurs les mesures mises en place pour soutenir les petites entreprises, ainsi que les dérogations particulières autorisées pour réduire le fardeau administratif.