À la veille d’une réunion politique cruciale pour la réglementation sur l’intelligence artificielle (AI Act), la présidence espagnole du Conseil de l’UE a demandé aux États membres de faire preuve de souplesse concernant l’utilisation de l’IA par les autorités chargées de l’application des lois.
L’AI Act est une proposition législative de l’UE visant à mettre en place un cadre réglementaire pour l’intelligence artificielle en vue de minimiser les risques inhérents à cette technologie. Le texte se trouve actuellement dans la dernière phase du processus législatif : les négociations interinstitutionnelles, également appelées « trilogues », dans le cadre desquelles Conseil, Parlement et Commission se réunissent afin de s’accorder sur un texte final.
Les décideurs politiques de l’UE sont déterminés à trouver un accord final lors du trilogue du 6 décembre. Avant ce rendez-vous crucial, la présidence espagnole du Conseil, qui négocie au nom des gouvernements européens, aura besoin d’un mandat de négociation révisé.
Vendredi dernier (24 novembre), la présidence a distribué la première moitié du mandat de négociation, demandant de la flexibilité et proposant un compromis sur la question de l’utilisation de l’IA pour veiller à l’application de la loi. Le mandat devra atterrir mercredi (29 novembre) sur le bureau du Comité des représentants permanents (Coreper).
La seconde moitié de ce mandat portera sur les modèles de fondation, la gouvernance, l’accès au code source, le régime de sanctions, l’entrée en vigueur du règlement et le droit dérivé. Il sera discuté au niveau du Coreper ce vendredi (1er décembre).
Interdictions
Les eurodéputés ont considérablement élargi la liste des applications de l’IA considérées comme comportant un niveau de risque inacceptable et étant donc interdites.
La présidence suggère d’accepter les interdictions relatives à la saisie non ciblée d’images de reconnaissance faciale, à la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, à la catégorisation biométrique pour déduire des données sensibles telles que l’orientation sexuelle et les croyances religieuses, et à la police prédictive.
« Dans un esprit de compromis », la présidence propose également d’inclure les interdictions du Parlement européen qui n’ont pas été acceptées dans la liste des cas d’utilisation à haut risque, à savoir toutes les autres applications de catégorisation biométrique et de reconnaissance des émotions.
En ce qui concerne l’identification biométrique à distance, les eurodéputés ont accepté d’abandonner l’interdiction totale de son utilisation en temps réel en échange d’une limitation de son utilisation à des cas exceptionnels et de l’inclusion de plus de garanties. Pour la présidence espagnole, l’utilisation a posteriori de cette technologie est considérée comme présentant un risque élevé.
Exceptions pour les autorités répressives
Le mandat du Conseil comprend plusieurs exceptions permettant aux autorités chargées de faire respecter les lois d’utiliser des outils d’IA. La présidence note qu’elle est parvenue à les « conserver presque toutes ».
Il s’agit notamment d’assouplir le texte pour les forces de police en ce qui concerne l’obligation de surveillance humaine assistée par IA, le signalement des systèmes à risque, la surveillance post-commercialisation des outils basés sur l’IA et les mesures de confidentialité visant à éviter la divulgation de données opérationnelles sensibles.
La présidence souhaite également que les autorités répressives puissent utiliser des logiciels de reconnaissance des émotions et de catégorisation biométrique sans en informer les personnes concernées.
Le Parlement européen a également obtenu la possibilité pour les forces de police d’enregistrer les systèmes à haut-risque dans la base de données de l’UE, mais dans une section non publique. La date limite pour que les systèmes informatiques à grande échelle se conforment aux obligations de la loi sur l’IA a été fixée à 2030.
Exception pour la sécurité nationale
La France a fait pression pour que l’AI Act prévoie une large exemption pour assurer la sécurité nationale. La présidence a noté que le Parlement européen n’avait fait preuve d’aucun esprit de compromis sur ce point du mandat du Conseil.
L’Espagne propose de diviser cette exemption en deux catégories. La première précise que le règlement ne s’applique pas aux domaines qui ne relèvent pas du droit de l’UE et qu’il ne devrait en aucun cas affecter les compétences des États membres dans le domaine de la sécurité nationale ou toute entité chargée de tâches dans ce domaine.
La deuxième catégorie préciserait que la loi sur l’IA ne s’appliquera pas aux systèmes mis sur le marché ou mis en service pour des activités liées à la défense et à l’armée.
Évaluation de l’impact sur les droits fondamentaux
Les eurodéputés socialistes et libéraux ont introduit une nouvelle obligation : une évaluation de l’impact sur les droits fondamentaux qui devrait être menée par les utilisateurs de systèmes à haut-risque avant leur déploiement. Pour la présidence, il est « absolument nécessaire » de l’inclure pour parvenir à un accord avec le Parlement.
L’un des points de friction sur ce sujet a été le champ d’application. Les parlementaires demandent que tous les utilisateurs soient concernés, pendant que les États membres de l’UE font pression pour limiter le champ d’application aux organismes publics. Le compromis a été de couvrir les organismes publics et seulement les acteurs privés fournissant des services d’intérêt général.
De plus, l’analyse d’impact sur les droits fondamentaux devrait couvrir les aspects qui ne sont pas déjà couverts par d’autres obligations légales afin d’éviter les chevauchements.
En ce qui concerne les obligations relatives à la gestion des risques, à la gouvernance des données et à la transparence, les utilisateurs doivent uniquement vérifier que le fournisseur du système à haut-risque les a respectées.
Pour la présidence, l’obligation d’organiser une consultation de six semaines devrait être supprimée, même pour les organismes publics, et remplacée par une simple notification à l’autorité nationale compétente.
Tests en conditions réelles
La possibilité introduite par le Conseil de tester les systèmes d’IA à haut-risque en dehors d’autres cadres réglementaires a été un point de discorde lors des négociations. Selon la note de la présidence, certaines garanties ont été incluses pour rendre la mesure acceptable par le Parlement.
Le texte indique que les personnes soumises au test doivent donner leur consentement en toute connaissance de cause et que, dans le cas des activités d’application de la loi, il n’est pas possible de demander le consentement, le test et son résultat ne peuvent pas avoir d’incidence négative sur les personnes concernées.
Dérogation à l’évaluation de conformité
Le Conseil a introduit une procédure d’urgence qui permet aux autorités du maintien de l’ordre d’utiliser en cas d’urgence un outil d’IA à haut-risque qui n’a pas encore passé la procédure d’évaluation de la conformité.
Les eurodéputés souhaitent que cette procédure soit conditionnée à une autorisation judiciaire, un point que la présidence juge inacceptable pour les États membres. En guise de compromis, les Espagnols ont proposé de réintroduire le mécanisme en permettant à la Commission, comme organisme de contrôle, d’examiner la décision a posteriori.
