Loi sur l’IA : la présidence française de l’UE souhaite des amendes « proportionnelles » et une prolongation des délais

Le nouveau document apporte des modifications importantes au régime de sanctions, au délai d'application du règlement, aux exigences de confidentialité pour les organes de surveillance et aux pouvoirs délégués de la Commission européenne. [HJBC/Shutterstock]

La présidence française du Conseil de l’UE a fait une série de propositions concernant l’application de la loi de l’UE sur l’intelligence artificielle (IA), dans un nouveau texte de compromis consulté par EURACTIV.

Ce nouveau texte est le dernier d’une série de compromis présentés par la France, à la tête du Conseil de l’UE jusqu’à la fin du mois de juin. Avant la fin de sa présidence, Paris a pour objectif de présenter un rapport d’étape résumant les avancées réalisées sur ce dossier au Conseil Télécom du 3 juin.

Le nouveau document apporte des modifications importantes au régime de sanctions, au délai d’application du règlement, aux exigences de confidentialité pour les organes de surveillance et aux pouvoirs délégués de la Commission européenne.

Le texte doit être examiné par le groupe de travail « Télécommunications » du Conseil de l’UE jeudi (5 mai).

Loi européenne sur l'IA : la présidence française de l'UE souhaite l'alignement avec le nouveau cadre législatif

La France propose plusieurs changements à la loi sur l’intelligence artificielle (IA) afin d’obtenir un meilleur alignement de ce cadre législatif. Les changements concernent notamment la désignation des autorités compétentes et la base de données sur l’IA à haut risque.

Sanctions

L’article concernant les sanctions a été modifié pour tenir compte également de la taille des entreprises, non seulement les petites entreprises et les jeunes entreprises, mais aussi les entreprises de taille moyenne.

Les amendes les plus élevées ont été limitées à l’utilisation illégale de pratiques interdites, telles que la notation sociale ou les algorithmes manipulateurs, étant donné que la référence aux obligations de rendre les jeux de données d’apprentissage (training datasets) représentatifs et dépourvus de biais a été supprimée.

Pour ces infractions plus graves, les PME et les jeunes entreprises pourraient se voir infliger une amende maximale de 3 % de leur chiffre d’affaires annuel ou de 30 millions d’euros, le montant le plus élevé étant retenu. Pour toutes les autres entreprises, l’amende maximale atteindrait 6 % du chiffre d’affaires annuel.

Toutefois, étant donné la formulation « le montant le plus élevé », le plafond le plus bas ne s’appliquerait qu’aux PME et aux jeunes entreprises dont la capitalisation boursière est supérieure à 1 milliard d’euros.

Pour toutes les autres infractions au règlement, les sanctions pour une entreprise seraient de 4 % du chiffre d’affaires annuel, sauf pour les jeunes entreprises ou les PME, pour lesquelles elles seraient de 3 %, ou de 20 millions d’euros, le montant le plus élevé étant retenu. Les sanctions pour avoir fourni des informations incomplètes ou trompeuses n’ont pas été modifiées.

Un nouveau paragraphe a été ajouté, indiquant que les sanctions imposées par l’autorité de surveillance du marché doivent être soumises à des garanties procédurales appropriées, y compris des recours judiciaires.

Délai d’application

Le délai d’application du règlement a été porté de deux à trois ans après son entrée en vigueur « afin de donner aux États membres plus de temps pour préparer une mise en œuvre efficace et aux entreprises plus de temps pour s’adapter ».

Le délai imparti aux États membres pour mettre en place les autorités nationales compétentes et les organismes notifiés, chargés d’évaluer la conformité, a également été porté de trois à douze mois.

Confidentialité

Les exigences de confidentialité pour les informations et les données obtenues dans le cadre de l’application de ce règlement ont été étendues à la Commission, au conseil des autorités nationales et à toute personne impliquée dans la mise en œuvre. La confidentialité doit être assurée par des mesures techniques et organisationnelles.

Auparavant, la règle de confidentialité ne s’appliquait qu’aux organismes notifiés, les organisations chargées de vérifier que certains systèmes d’IA respectent le règlement avant leur mise sur le marché.

« La formulation est basée sur une disposition similaire du RGPD », a expliqué la présidence dans la note d’accompagnement, faisant référence à la législation de l’UE sur la protection des données.

Pouvoirs délégués et révisions

La part de pouvoir à donner à la Commission européenne sous la forme de législation secondaire, c’est-à-dire de lois créées par le pouvoir exécutif, est un point de discorde récurrent entre les colégislateurs, le Conseil de l’UE faisant normalement pression pour donner moins d’indépendance à la Commission.

Le texte inclut désormais une « clause de caducité » relative au pouvoir de la Commission d’adopter des actes délégués, qui n’est plus indéterminé mais limité à cinq ans à compter de l’entrée en vigueur du règlement.

À cette échéance, la Commission devra fournir un rapport sur l’utilisation de ses pouvoirs délégués, qui seraient automatiquement prorogés, sauf si le Parlement européen ou le Conseil s’y opposent.

La France propose également une extension du délai en termes d’évaluation et de révision des annexes, qui sont des parties critiques du règlement.

L’annexe I, qui comprend la définition des systèmes d’IA, et l’annexe III, qui comprend la liste des systèmes d’IA à haut risque, doivent être révisées tous les deux ans jusqu’à la fin des pouvoirs de délégation.

Dans cette partie du texte, la présidence française n’a pas apporté de modifications aux amendes administratives que le Contrôleur européen de la protection des données pourrait imposer aux organes de l’UE en cas de violation du règlement, de la législation secondaire et des modifications de la législation associée.

Subscribe to our newsletters

Subscribe