Menu
Pourquoi une réglementation sur l’intelligence artificielle ?
L’intentionnalité du législateur est clairement établie. Il s’agit de :
- Garantir que, sur le marché européen, les systèmes à base d’IA (SIA) sont sûrs et respectent les lois existantes portant tant sur les droits fondamentaux, que sur les valeurs et les normes prônées par l’UE.
- Stabiliser le cadre légal de production de l’IA de façon à faciliter investissements et innovations dans ce secteur d’activité.
- Améliorer la gouvernance relative aux SIA de façon à être en mesure de garantir leur conformité.
- Promouvoir le développement d’un marché unique de l’IA fondé sur la sécurité et la confiance.
- qui soient dignes de confiance :
- qui soient licites, en respectant le cadre légal applicable,
- qui soient éthiques, dans le respect des droits et principes fondateurs de l’Union Européenne,
- qui soient robustes, tant techniquement que socialement.
Une première brique de conformité légale a déjà été déployée à travers le règlement des RGPD sur la protection des données personnelles. Cette brique était un préalable pour réguler des systèmes qui nécessitent de facto de gros volumes de données pour opérer. Le règlement basé sur l’AI Act doit maintenant devenir la seconde brique de conformité des systèmes à base d’IA, en complétant la structuration de l’écosystème de développement et d’utilisation de SIA. Et ce de façon à promouvoir et garantir leur caractère éthique et robuste, et in fine de façon à instaurer et faciliter des relations de confiance entre les différents acteurs de la chaîne de valeur, donneurs d’ordre, fournisseurs, et utilisateurs, et les solutions d’IA qui sont développées et déployées en entreprise ou pour le grand public.
L’AI Act (Artificial Intelligence Act) est une proposition de loi Européenne relative à la régulation de l’Intelligence Artificielle. Cette proposition de loi, rendue publique le 21 avril 2021, est le fruit de près d’une décennie de recherche et de recommandations de la part de laboratoires pluridisciplinaires et de groupes d’experts indépendants à travers l’Europe. Elle a pour vocation d’être transcrite dans le droit européen.
Le 5 Septembre 2022, la Commission pour les Affaires Juridiques (JURI) du Parlement Européen a remis son avis sur l’AI Act.
Le 03 Novembre 2022, sous la présidence Tchèque, a été communiqué le compromis final relatif à la loi de réglementation de l’IA avant que celui-ci soit présenté au Conseil des Telecom (TTE) pour validation.
Sa transcription en droit européen devrait donc se réaliser à court terme, suivie par sa retranscription dans le droit de chaque pays membre. Pour rappel, les principes contenus dans les RGPD s’étaient aussi généralisés au-delà des frontières de l’Europe
Comment s’appliquera la réglementation relative à l’IA ?
Cette réglementation vise à harmoniser les standards et procédures relatifs au développement et au déploiement de SIA. Après avoir défini la qualification même d’Intelligence Artificielle et des systèmes concernés, elle définit d’abord le cadre qui permet de catégoriser les applications et les systèmes à base d’IA en fonction des risques que ceux-ci peuvent engendrer, différenciant des risques inacceptables, élevés ou faibles.
Les risques à réglementer sont ceux qui contreviennent aux valeurs fondamentales de l’UE, aux droits fondamentaux des personnes.
Par exemple, les risques inacceptables sont ceux de systèmes qui utiliseraient des techniques de manipulation, et dont les conséquences seraient intolérables pour les individus, physiquement ou psychologiquement ; ou des systèmes de scoring social ; ou encore des systèmes d’identification biométrique en temps réel.
La qualification de risque élevé d’un SIA peut évidemment être entendue comme étant relative à la seule fonction réalisée. Mais la réalisation de cette fonction peut aussi être un sous-élément dans un système informatique ou organisationnel plus large, cette qualification peut dès lors être aussi relative à la finalité du système global et aux modalités spécifiques d’exploitation du SIA en son sein.
Certaines activités, pour lesquelles les SIA peuvent être à risque inacceptable ou élevé, sont plus spécifiquement identifiées dans la proposition et ses Annexes, sans que leur liste soit exhaustive :
- Maintien de la paix
- Contrôle de l’immigration, des demandes d’asile, contrôle des frontières
- Administration de la justice et des processus démocratiques
- Gestion et opération d’infrastructures « critiques »
- Formation : sélec tion dans l’accès à des formations, évaluation des performances, …
- Ressources Humaines : sélection de candidats lors d’un recrutement, décisions relatives aux promotions, aux licenciements, …
- Accès et utilisation de services essentiels : accès aux services sociaux, au système bancaire, à une assurance, au système de santé, …
Une fois le SIA catégorisé, la proposition de réglementation s’applique de façon différenciée : le risque inacceptable renvoyant à une interdiction formelle, un risque élevé étant soumis à un encadrement garanti par un audit de conformité avant mise sur le marché, un risque faible nécessitant certaines obligations limitées de transparence, voire aucune restriction formelle, lorsque, par exemple, le cas d’usage n’utilise aucune donnée personnelle, ou ne délivre aucune prédiction, sans aucune relation d’influence vis-à-vis de son utilisateur.
La nécessité pour les entreprises de prendre en compte la réglementation relative à l’IA dès maintenant.
Il est de la responsabilité de chaque organisation développant et/ou utilisant des SIA de s’assurer dès à présent que celles-ci sont bien conformes. Celles-ci sont responsables des risques engagés par les solutions qu’elles développent et mettent sur le marché d’une part, et qu’elles exploitent d’autre part. Dans le cas d’un impact indésirable d’un SIA mis sur le marché par une organisation, la relation contractuelle qui lie celle-ci avec un sous-traitant ne saurait la dédouaner a priori de sa responsabilité, le sous-traitant ne l’étant pas non plus a priori, de par sa paternité vis-à-vis du cas d’usage qui a délivré des outputs indésirables. Il convient donc que chaque partenaire ait préalablement, sensibilisé ses équipes, mis en place un système de gouvernance de l’éthique des SIA, et validé la conformité du cas d’usage qu’il a développé et/ou mis à la disposition des utilisateurs finaux.
Pour les entreprises ou les services informatiques qui démarrent un projet à base d’IA aujourd’hui, et compte tenu du temps nécessaire au développement et au déploiement, il est essentiel d’intégrer dès à présent la dimension éthique dans la méthodologie de gestion de votre projet.
C’est dans cette perspective que Aithics met à votre disposition son expertise en matière d’éthique du numérique afin de : vous aider à sensibiliser vos équipes, à penser les principes et structurer votre gouvernance, à valider la conformité de votre cas d’usage.