Selon l’article 16 du Traité de Fonctionnement de l’Union Européenne toute personne a droit à la protection des données à caractère personnel la concernant. La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. Conformément à l’article 8, alinéa 1, de la Charte des droits fondamentaux de l’Union européenne, tout individu a le droit au respect et à la protection de ses données personnelles. De plus, la déclaration n˚21 énonce les règles régissant la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne. Le règlement (UE) 2016/679 du Parlement européen et du Conseil et la directive (UE) 2016/680 du Parlement européen et du Conseil ont défini des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’UE, sans prévoir de règle spécifique sur l’intelligence artificielle.

Depuis 2020 plusieurs règlements européens sur l’intelligence artificielle ont été approuvés au sein de l’Union européenne : i) dans les domaines de l’éducation, de la culture et de l’audiovisuel (2020/2017(INI)) ; ii) sur la responsabilité civile (2020/2014 (INL)), iii) sur la propriété intellectuelle (2020/2015(INI)) et iv) sur l’IA - droit pénal et son utilisation par les autorités policières et judiciaires en matière pénale (2020/2016(INI)).

Le récent règlement sur l’intelligence artificielle est un instrument crucial de l’harmonisation des bonnes pratiques dans le cadre de l’IA et en matière de protection des données personnelles. Ainsi, cet article traitera de (i) La protection des données personnelles au sein de l’Union Européenne et (ii) Le règlement européen sur l’IA.

I) La protection des données personnelles au sein de l’Union Européenne.

Conformément à l’article 8 de la Charte des droits fondamentaux de l’Union Européenne, toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi.

La Cour européenne des droits de l’homme a noté dans sa jurisprudence que les développements technologiques en matière de « traitement automatique » des données avaient conduit au cours des dernières décennies, à d’énormes défis pour la protection des données personnelles, en particulier en ce qui concerne les possibilités opérationnelles modernes de surveillance, d’interception des communications ou de conservation des données.

Dans ses décisions juridiques, la Cour européenne a emprunté la notion de « données personnelles » telle qu’elle est définie dans la Convention n° 108 du Conseil de l’Europe sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.

La cour a élargi cette définition en incluant tout renseignement concernant une personne physique identifiable ou identifiée.

Dans l’affaire FRA/Aycaguer (8806/2012), la Cour européenne s’est appuyée sur l’article 8 de la Charte des droits fondamentaux pour statuer sur l’admissibilité de la conservation des empreintes génétiques des condamnés pénaux sans limites de temps. Elle a conclu que les règles régissant la conservation des profils ADN dans le FNAEG ne garantissaient pas un niveau de protection adéquat aux personnes concernées.

Par la suite, en octobre 2021, le Code de procédure pénale et les dispositions relatives au FNAEG ont été modifiés par décret afin de mettre en œuvre l’arrêt de la CEDH. Cependant, malgré la vigilance et la sauvegarde de la protection des données sur la base de l’article 8 de la Charte, d’autres règlements ont été nécessaires pour couvrir différentes situations juridiques.

A) Le Règlement général sur la protection des données (RGPD), n° 2016/679 et la directive (UE) 2016/680 du Parlement européen et du Conseil.

Le règlement (UE) 2016/679 du Parlement européen et du Conseil et la directive (UE) 2016/680 du Parlement européen et du Conseil ont été adoptés le 27 avril 2016. Alors que le règlement définit des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union, la directive définit les règles spécifiques visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière.

Le Règlement général sur la protection des données (RGPD) est crucial pour comprendre les principes généraux régissant l’utilisation des données dans le cadre de la nouvelle législation européenne sur l’intelligence artificielle. Par exemple, les trois concepts suivants : i) Les « données personnelles » sont définies comme toute information relative à une personne physique identifiée ou identifiable ; ii) Le « profilage » est une forme de traitement automatisé de données personnelles utilisées pour évaluer certains aspects personnels d’une personne et iii) Une « violation de données personnelles » se produit lorsque la sécurité des données est compromise, entraînant leurs destruction, perte, altération ou divulgation non autorisée. En outre, le RGPD établit plusieurs principes fondamentaux régissant le traitement des données, notamment la licéité, la loyauté et la transparence.

La licéité est le traitement de l’information en raison d’une obligation légale, d’une mission d’intérêt public ou selon le consentement de la personne concernée. Pour assurer la fidélité et la clarté, le consentement doit être obtenu volontairement, émanant d’une personne compétente qui respecte les droits fondamentaux des individus. Ces derniers incluent notamment le droit d’accès aux informations, le droit de rectification, le droit à l’effacement (aussi appelé « droit à l’oubli »), le droit à la portabilité des données ainsi que le droit d’opposition.

De plus, deux articles clés régissant la gestion des données personnelles doivent être pris en compte : l’article 26, qui énonce les responsabilités du responsable du traitement, et l’article 34, qui stipule l’obligation de signaler toute violation de données à caractère personnel à l’Autorité européenne de protection des données (conformément au nouveau règlement qui prévoit l’Office IA).

La Directive (UE) 2016/680 Du Parlement Européen Et Du Conseil du 27 avril 2016 vise la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

Par conséquent, la directive prévoit une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que : i) les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ; ii) les personnes reconnues coupables d’une infraction pénale ; iii) les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ; et iv) les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales.

Il convient toutefois de noter que malgré l’importance du règlement et de la directive susmentionnés, aucun d’entre eux ne mentionne le terme « intelligence artificielle ». Voilà pourquoi l’étude des données personnelles nécessite désormais une vue d’ensemble de la réglementation européenne.

B) Le Règlement (UE) 2018/1725 du Parlement Européen et du Conseil du 23 octobre 2018.

Le règlement européen n° 2018/1725, adopté le 23 octobre 2018 par le Parlement européen et le Conseil, vise à protéger les individus contre la manipulation de leurs données personnelles par les entités de l’Union, notamment, en ce qui concerne le traitement automatisé, un premier règlement sur la protection des données dans le contexte de l’automatisation.

Le règlement adopte les mêmes principes de base du RGPD (licéité, loyauté, transparence) concernant les droits des personnes concernées, ainsi que les mêmes droits (le droit d’accès aux informations, le droit de rectification, le droit à l’effacement - aussi appelé « droit à l’oubli », le droit à la portabilité des données ainsi que le droit d’opposition).

En ce qui concerne la protection des données il faut mentionner l’article 39 qui prévoit une analyse d’impact relative à la protection des données, lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Cependant, ce règlement n’est pas applicable au traitement des données personnelles des défunts ni au traitement des informations relatives aux entités juridiques, telles que les sociétés, qu’elles aient ou non une existence légale. Il exclut également les renseignements sur leur dénomination, leur structure juridique et leurs coordonnées.

Il faut souligner l’importance de l’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants : i) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ; ii) le traitement à grande échelle de catégories particulières de données visées à l’article 10, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 11 et iii) la surveillance systématique à grande échelle d’une zone accessible au public.

De la même façon, il convient toutefois de noter que malgré l’importance des règlements et directives susmentionnés, aucun d’entre eux ne mentionne le terme « intelligence artificielle ». Voilà pourquoi l’étude des données personnelles nécessite désormais une vue d’ensemble de la réglementation européenne.

II) Le règlement sur l’intelligence artificielle au sein de l’Union européenne.

Le 13 février 2024, les 27 États membres de l’UE ont approuvé à l’unanimité l’Acte sur l’IA, confirmant l’accord politique conclu en décembre 2023, et le 21 février 2024, l’Office européen de l’intelligence artificielle a été créé, sous l’égide de la Direction générale des réseaux de communication, du contenu et des technologies, pour soutenir la mise en œuvre de l’Acte sur l’IA, en particulier en ce qui concerne l’IA à usage général. Le 21 mai 2024, le Conseil européen a officiellement adopté l’Acte sur l’IA de l’UE, dont le texte a été officiellement publié au Journal officiel de l’Union européenne le 12 juillet 2024.

Le règlement est entré en vigueur 20 jours après sa publication officielle, le 1er août 2024 et sera pleinement applicable 24 mois après son entrée en vigueur, avec les exceptions suivantes : i) dans 6 mois pour les systèmes d’IA interdits ; ii) dans 12 mois pour les GPAI ; iii) dans 24 mois pour les systèmes d’IA à haut risque couverts par l’annexe III et iv) dans 36 mois pour les systèmes d’IA à haut risque de l’annexe I. En outre, les Codes de bonnes pratiques doivent être élaborés dans un délai de 9 mois à compter de l’entrée en vigueur du règlement. De plus, les États membres doivent jusqu’au 2 novembre 2024 identifient et rendent publique la liste des autorités/organismes responsables de la protection des droits fondamentaux, et qu’ils en informent la Commission et les autres États membres.

Le règlement européen sur l’intelligence artificielle - ci-après dénommé "IA" - compte 180 articles répartis en 13 chapitres : i) dispositions générales ; ii) pratiques interdites ; iii) systèmes à haut risque ; iv) obligations de transparence des prestataires ; v) modèles d’IA à usage général ; vi) mesures de soutien à l’innovation ; vii) gouvernance ; viii) base de données européenne sur les systèmes à haut risque ; ix) contrôle de la commercialisation des informations et surveillance du marché ; x) Codes de conduite et lignes directrices ; xi) délégation de pouvoirs et procédures de comité ; xii) confidentialité et sanctions ; et xiii) dispositions finales.

Selon l’article 3 du Règlement, le système d’IA peut être conceptualisé comme « un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d’autonomie et qui peut faire preuve d’adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels ». Cependant, le même article a défini « l’usage abusif raisonnablement prévisible » comme l’utilisation d’un système d’IA d’une manière qui n’est pas conforme à sa destination, mais qui peut résulter d’un comportement humain raisonnablement prévisible ou d’une interaction avec d’autres systèmes, y compris d’autres systèmes d’IA.

De plus, le règlement européen comporte 11 annexes : i) liste de la législation d’harmonisation de l’UE ; ii) liste des infractions pénales ; iii) systèmes d’IA à haut risque ; iv) documentation technique ; v) déclaration de conformité de l’UE ; vi) procédure d’évaluation de la conformité de l’UE ; vii) conformité basée sur l’évaluation du système de gestion de la qualité et l’évaluation de la documentation technique ; viii et ix) informations requises pour l’enregistrement des systèmes d’IA à haut risque ; x) législation de l’UE sur les systèmes d’information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice ; et xi) documentation européenne.

A) La protection des données personnelles.

L’article 4 du Règlement établit le respect de la vie privée et l’intégrité des données personnelles comme principes directeurs du développement de l’IA en Europe. En ce qui concerne l’IA, les prestataires, les déployeurs, les fournisseurs, les importateurs, les distributeurs, les représentants autorisés et les développeurs devront donc respecter les principes bien connus du GDPR, à savoir les principes de protection de la vie privée dès la conception/par défaut et de minimisation.

Toujours dans la lignée du RGPD, le texte impose désormais la réalisation d’une analyse d’impact avant le déploiement d’AIS à haut risque, conformément à l’article 27 de la résolution du Parlement européen adoptée le 13 mars 2024. Cette évaluation consistera en une analyse visant à minimiser les risques liés, une fois de plus, aux droits fondamentaux des citoyens.

Dans son article 5, la loi européenne classe l’IA en fonction des risques qu’elle présente : i) les risques inacceptables sont interdits (par exemple, les systèmes de notation sociale adoptés en Chine) ; ii) les systèmes d’IA à haut risque, qui font l’objet d’une réglementation ; iii) Les systèmes d’IA à risque limité, qui sont soumis à des obligations de transparence plus légères (chatbots et deepfakes) ; et iv) les systèmes à risque minimal, non réglementés (y compris la plupart des applications d’IA actuellement disponibles sur le marché unique de l’UE, telles que les jeux vidéo et les filtres anti-spam d’IA - au moins jusqu’en 2021 ; cette situation est en train de changer avec l’IA générative).

Selon le règlement, deux types de systèmes d’intelligence artificielle (IA) sont considérés comme étant à haut risque : 1. Ceux conçus pour être utilisés par un tribunal ou son représentant légal pour mener des investigations, analyser des preuves juridiques et appliquer des lois à un ensemble spécifique de faits, ou encore employés de manière similaire dans le cadre d’un règlement extrajudiciaire des litiges. 2. Les systèmes d’IA développés afin d’influencer les résultats d’une élection ou d’un référendum, ou bien le choix des électeurs lorsqu’ils exercent leur droit de vote. Les systèmes d’IA servant à manipuler les résultats électoraux et le comportement des électeurs sont donc considérés comme présentant un danger élevé.

Par conséquent, les citoyens auront désormais la possibilité de déposer des réclamations concernant ces systèmes d’IA et d’obtenir des éclaircissements sur les décisions prises par ces derniers, lorsque celles-ci ont un impact sur leurs droits. Le non-respect des règles peut entraîner des amendes allant, en fonction de la taille de l’entreprise et de l’infraction, de 7,5 millions d’euros ou 1,5% du chiffre d’affaires à 35 millions d’euros ou 7% du chiffre d’affaires mondial.

De plus, selon l’article 50 de la Loi sur l’IA, qui n’entrera en vigueur qu’en 2 août 2026, les fournisseurs et les déployeurs d’un système auront les obligations de transparence, notamment, en ce qui concerne : i) les systèmes d’IA destinés à interagir directement avec des personnes physiques ; ii) les systèmes d’IA, y compris les systèmes d’IA à usage général, qui génèrent des contenus synthétiques audio, image, vidéo ou texte, veillent à ce que les résultats du système d’IA soient marqués dans un format lisible par machine et détectables comme étant générés ou manipulés artificiellement ; iii) les systèmes de reconnaissance des émotions ou d’un système de catégorisation biométrique (devoir de informations aux personnes exposées, conformément aux règlements (UE) 2016/679 et (UE) 2018/1725 et à la directive (UE) 2016/680 ; iv) les systèmes de reconnaissance des émotions ou d’un système de catégorisation biométrique informent les personnes physiques qui y sont exposées du fonctionnement du système et traitent les données à caractère personnel conformément aux règlements (UE) 2016/679 et (UE) 2018/1725 et à la directive (UE) 2016/680 ; v) les personnes qui déploient un système d’IA qui génère ou manipule un contenu image, audio ou vidéo constituant une contrefaçon profonde doivent indiquer que le contenu a été généré ou manipulé artificiellement.

Toutefois, l’obligation de transparence ne s’appliquera pas dans les cas suivantes : i) aux systèmes d’IA autorisés par la loi à détecter, prévenir, enquêter ou poursuivre des infractions pénales, sous réserve de garanties appropriées pour les droits et libertés des tiers, à moins que ces systèmes ne soient mis à la disposition du public pour signaler une infraction pénale, sous réserve de garanties appropriées pour les droits et libertés des tiers, et conformément au droit de l’Union ; ii) dans le cas concernant le droit d’auteur, l’obligation ne s’applique pas lorsque l’utilisation est autorisée par la loi pour détecter, prévenir, enquêter ou poursuivre une infraction pénale. De surcroît, les utilisateurs d’un système d’IA qui génère ou manipule un texte publié dans le but d’informer le public sur des questions d’intérêt public doivent indiquer que le texte a été généré ou manipulé artificiellement.

B) Les bonnes pratiques.

En ce qui concerne le code des bonnes pratiques, l’article 56 du règlement stipule que l’Office AI s’efforcera d’encourager et de favoriser l’élaboration de Codes de pratique au niveau de l’Union afin de contribuer à la bonne application du règlement, en tenant compte des approches internationales.

L’Office AI et la Commission veilleront à ce que les Codes des bonnes pratiques couvrent au moins les obligations prévues aux articles 53 et 55, notamment : (a) les moyens d’assurer la mise à jour des informations visées à l’ article 53, paragraphe 1, points a) et b), en fonction de l’évolution du marché et des technologies ; (b) le niveau de détail adéquat pour le résumé du contenu utilisé pour la formation ; (c) l’identification du type et de la nature des risques systémiques au niveau de l’Union, y compris leurs sources, le cas échéant et (d) les mesures, procédures et modalités d’évaluation et de gestion des risques systémiques au niveau de l’Union, y compris la documentation y afférente, qui sont proportionnelles aux risques, prennent en considération leur gravité et leur probabilité et tiennent compte des défis spécifiques que pose la gestion de ces risques à la lumière des différentes manières dont ils peuvent apparaître et se matérialiser tout au long de la chaîne de valeur de l’IA.

Également, il faut souligner que l’Office AI peut inviter tous les fournisseurs de modèles d’IA à usage général, ainsi que les autorités nationales compétentes, à participer à l’élaboration des Codes de pratique. Les organisations de la société civile, l’industrie, les universités et les autres parties prenantes concernées, telles que les fournisseurs en aval et les experts indépendants, peuvent soutenir le processus.

En outre, l’article 56 stipule que l’office AI et le conseil d’administration doivent surveiller et évaluer en permanence si les participants respectent les Codes de conduite et contribuent positivement à l’application correcte du présent règlement. À cette fin, la Commission a la capacité d’approuver un Code de conduite et de lui conférer une portée générale dans l’Union par le biais d’un acte exécutif. Cette procédure nécessite le respect de la procédure consultative décrite à l’article 98, paragraphe 2, du règlement.

Par conséquent, l’Office AI peut inviter tous les fournisseurs de modèles d’IA à usage général à se conformer aux Codes de bonnes pratiques. L’office AI s’engage non seulement à promouvoir, mais aussi à simplifier, si nécessaire, la révision et l’adaptation des protocoles de conduite. Il prendra en compte les tendances émergentes dans ce processus. De plus, il contribue à l’examen des normes existantes.

De surcroît, le règlement précise que les protocoles doivent être achevés au plus tard le 2 mai 2025. Si, d’ici au 2 août 2025, un protocole ne peut être terminé, ou si le bureau AI juge, après l’avoir examiné conformément au paragraphe 6 de cet article, qu’il n’est pas approprié, la Commission peut établir, par voie d’actes exécutifs, des règles uniformes régissant la manière dont ces obligations doivent être remplies, telles que définies aux articles 53 et 55.

Enfin, alors que le RGPD visait à traiter spécifiquement de la protection des données, le nouveau règlement européen sur l’IA se concentre spécifiquement sur un système de classification des risques, ce qui a un impact direct sur les obligations et devoirs des prestataires de services et également sur la protection des données personnelles. Il est donc important, désormais, de lire conjointement et de manière interdisciplinaire l’article 16 du Traité de fonctionnement de l’Union Européenne, l’article 8 de la Charte des droits fondamentaux de l’Union européenne, le règlement (UE) 2016/679, la directive 2016/680 et la loi sur l’IA, dans le but d’assurer la meilleure protection possible des données à caractère personnel dans le contexte de l’intelligence artificielle.

Vanessa Gonçalves Alvarez, Avocate inscrite au Barreau de Lisbonne Maître en droit international public et titulaire d’un LL.M en droit français et européen - Paris 1 Panthéon - Sorbonne

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).