La Commission européenne a publié le 19 février 2020 son livre blanc sur la régulation de l’Intelligence Artificielle (IA), en créant un écosystème d’excellence et de confiance.

Que faut-il en retenir ?

I) Constat sur les bénéfices et risques de l’IA.

La Commission européenne, dans ce livre blanc [1] entend saisir l’opportunité de la vague économique générée par la donnée, et positionner l’Union Européenne comme un leader mondial du domaine de l’IA.

Pour cela, un écosystème de confiance est nécessaire. Cela nécessite un cadre réglementaire adapté à l’intelligence artificielle.

L’IA est déjà soumise à la législation européenne sur les droits fondamentaux [2], à la protection des consommateurs et à la sécurité et la responsabilité des produits.

Toutefois, des composants de l’IA (comme l’opacité) peuvent rendre l’application de ces législations peu efficace. C’est d’ailleurs pour cela que les initiatives nationales des Etats membres se multiplient pour réguler l’IA, et que la Commission s’interroge dans ce livre blanc sur la pertinence de créer un cadre juridique spécifique à l’IA, tout en tenant compte de ses évolutions rapides.

Le livre blanc souligne que des bénéfices seront apportés par l’IA [3], mais l’IA peut également nuire :
 Matériellement [4] ;
 Non-matériellement [5].

Sur les dangers liés aux droits fondamentaux :
Ces risques peuvent résulter de défauts dans la conception globale des systèmes d’IA [6] ou de la non-correction de biais.

Le livre blanc souligne que les biais et la discrimination sont des risques inhérents à toute activité sociale ou économique et la prise de décision humaine n’est pas à l’abri de telles erreurs et biais. Cependant, le même biais, lorsqu’il est présent dans l’IA, pourrait avoir un effet beaucoup plus important, en touchant et discriminant de nombreuses personnes sans les mécanismes de contrôle social qui régissent le comportement humain.

De telles erreurs et biais sont également susceptibles d’apparaître lorsque le système d’IA apprend, ce qui peut générer des erreurs dans les résultats de l’IA.

L’opacité de l’IA [7] augmente la difficulté de vérifier la conformité de l’IA avec les réglementations existantes. Les autorités chargées de l’application de la loi et les personnes concernées peuvent ne pas avoir les moyens de vérifier la façon dont une décision est prise et si les règles élémentaires ont été respectées.

Sur les risques pour la sécurité et le fonctionnement du régime de responsabilité.
L’IA présente également des risques pour la sécurité des utilisateurs, lorsqu’elle est intégrée dans des produits et services. La Commission européenne prend l’exemple des voitures autonomes : l’identification erronée d’un objet sur la route peut provoquer un accident engendrant des blessures et des dommages matériels.

Les risques liés à la sécurité, même s’ils ne se limitent pas à l’IA, peuvent être accrus avec cette technologique, et peuvent être causés par des défauts dans la conception de l’IA [8].

Lorsque ces dangers se réalisent, la difficulté sera de prouver le caractère défectueux du produit basé sur l’IA à l’origine de l’accident. Pouvoir comprendre et pouvoir retracer les décisions prises par l’IA ayant mené à cet incident est alors nécessaire, notamment pour permettre aux éventuelles victimes d’obtenir réparation du préjudice subi.

II) Comment améliorer le cadre réglementaire pour tenir compte de ces nouveaux potentiels risques ?

La Commission considère donc dans ce livre blanc que la législation devrait évoluer, pour faire face aux risques et situations suivants :
 Assurer une application et mise en œuvre efficaces de la législation communautaire et nationale existante ;
 Encadrer la limitation du champ d’application de la législation communautaire existante ;
 Tenir compte de l’évolution des fonctionnalités des systèmes d’IA ;
 Lever l’incertitude quant à la répartition des responsabilités entre les différents opérateurs économiques dans la chaine de distribution ;
 Faire évoluer la notion de sécurité.

Le livre blanc rappelle que les dispositions existantes du droit communautaire continueront à s’appliquer en ce qui concerne l’IA, bien qu’elles doivent être mises à jour pour tenir compte de la transformation numérique et de l’utilisation de l’IA.

La première étape est de définir ce qu’est l’IA pour y adosser un encadrement juridique pertinent. La définition de l’IA devra être suffisamment souple pour tenir compte des progrès techniques à venir, tout en étant suffisamment précis pour assurer la sécurité juridique nécessaire.

La Commission européenne n’entend pas faire naître un nouveau cadre qui créera une charge disproportionnée, en particulier pour les PME.

Il est préconisé que le nouveau cadre réglementaire ne s’applique qu’aux IA à « haut-risque » [9].

Des critères clairs doivent être établis pour déterminer lorsque l’IA est ou non « à haut risque ».
Pour la Commission européenne, l’IA devrait être considérée comme à haut risque si deux critères cumulatifs sont réunis : (i) en examinant si le secteur et (ii) si l’utilisation de l’IA comporte des risques significatifs, notamment du point de vue de la protection de la sécurité, des droits des consommateurs et des droits fondamentaux.

- Sur le secteur :
Si l’IA est utilisée dans un secteur où, compte tenu des caractéristiques des activités généralement effectuées, l’on peut s’attendre à des risques importants.

Ce premier critère garantit que l’intervention réglementaire soit ciblée sur les domaines où, d’une manière générale, les risques sont jugés les plus susceptibles de se produire. Les secteurs couverts devront être énumérés de manière spécifique et exhaustive dans le nouveau cadre réglementaire.

Par exemple, les soins de santé, les transports, l’énergie et certaines parties du secteur public. La liste devrait être revue périodiquement et modifiée si nécessaire en fonction des évolutions pertinentes dans la pratique.

- Des risques importants sont susceptibles de survenir :
L’évaluation du niveau de risque d’une utilisation donnée pourrait être basée sur l’impact sur les parties concernées. Par exemple, les utilisations d’IA qui produisent des effets pour les droits d’un individu ou d’une entreprise, qui présentent un risque de de blessures, de décès ou de dommages matériels ou immatériels importants.

L’application de ces deux critères cumulatifs garantirait une sécurité juridique, car le champ d’application serait ciblé et proportionné. Les obligations du nouveau cadre réglementaire sur l’IA s’appliqueraient alors uniquement aux solutions d’IA identifiées comme à haut risque conformément à ces deux critères cumulatifs.

Toutefois, ces nouvelles règles devraient également s’appliquent aux IA à « haut risque » par nature, c’est-à-dire indépendamment du secteur concerné [10].

III) Quelles nouvelles exigences pour l’IA à haut-risque ?

La conception du futur cadre réglementaire pour l’IA nécessitera de définir les obligations légales à imposer aux acteurs concernés par des IA à haut risque.

Le livre blanc dresse une liste d’obligations que les opérateurs devraient suivre pour les IA à haut risque, concernant :
 Les données utilisées pour l’entrainement, en s’assurer que les jeux de données sont suffisamment exhaustifs pour envisager tous les scénarios et limiter la réalisation des risques, ou encore en ayant des jeux de données suffisamment représentatifs pour éviter les discriminations ;
 La tenue de registres sur les données utilisées pour entraîner les algorithmes, en y documentant les caractéristiques des jeux de données, les choix réalisés, les techniques et méthodologies de conception et d’entrainement ;
 Les informations à fournir, notamment sur le recours à l’IA et son degré de fiabilité ;
 La robustesse et la précision, en prenant en compte dès la conception les risques de l’IA et en assurant une gestion des erreurs pendant la vie de l’IA ;
 La supervision humaine, en faisant valider les résultats de l’IA par un être humain, en permettant une intervention en temps réel et en laissant la possibilité de désactiver l’IA.

IV) Des points restent à définir...

La question de savoir comment les obligations doivent être réparties entre les opérateurs économiques impliqués dans la chaine économique. La Commission européenne préconise que les obligations soient supportées à l’acteur de la chaine le plus à même de faire face au risque potentiel.

La question de la portée géographique de l’intervention législative se pose. La Commission estime qu’il est primordial que les exigences soient applicables à tous les opérateurs économiques concernés qui fournissent des produits ou des services liés à l’IA dans l’UE, qu’ils soient ou non établis dans l’UE. Dans le cas contraire, les objectifs de l’intervention législative ne seraient pas pleinement réalisés.

Enfin, le livre blanc évoque la mise en place d’une labellisation volontaire pour les IA considérées comme n’étant pas à « haut risque ». Les acteurs économiques pourraient alors décider de se soumettre aux exigences du cadre réglementaire pour bénéficier du label.

En matière de gouvernance, une structure européenne composée d’entités publiques et privées pourrait émerger, pour renforcer la cohérence de l’application de ces règles.

V) Conclusion.

Ce livre blanc de la Commission européenne livre des informations intéressantes pour construire dès aujourd’hui des solutions d’IA responsables et éthiques, en attendant un cadre normatif applicable, spécifique à l’IA.

Une consultation publique étant ouverte jusqu’en juillet 2020 sur ce livre blanc, il sera intéressant d’y suivre les commentaires et suggestions émises.

Nul doute que le point de limiter aux IA à haut risque les nouvelles obligations légales pourraient susciter des critiques...

Par Florian Renault DPO & juriste CAPA, DJCE, CIPP/E

Comentaires:

• 
  Merci , Eytan Messika, 21 février 2020

  Génial ! Merci Florian